“適度な不信感”をベースに考える「人間のセキュリティ」：「セキュリティ心理学」入門（1）（2/2 ページ）

性善説でも性悪説でもない「性弱説」

　人的セキュリティについて考えるとき、筆者はいつも、情報漏えい事件を起こしてしまったある企業の社長が、記者会見の席で「今まで性善説でやってきました」と述べる光景を思い出します。性善説であれば管理（マネジメント）は不要なのでしょうか？ それは単なる「丸投げ」ではないでしょうか？ ここでは、情報セキュリティを考える上で筆者が重要だと考えている「性弱説」の考え方を紹介します。

　さて、突然ですがここで読者の方々に一つ質問をします（下図）。これは「性弱説」について説明する際に、筆者がいつも用いている質問です。

　セミナーの参加者などにこの質問をすると、おおむねある金額以下では「2」、それ以上になると「1」や「3」の回答が多くなります。また「3億円以上であれば『2』」などと答える人もいます。確かに、3億円があれば可処分所得が年間1000万円でも30年間生活することができます。読者の皆さんは、この誘惑に常に勝てる自信があるでしょうか？ 筆者にはありません。また、あなたの組織ではこの質問に対して全ての人が「1」や「3」と回答してくれるでしょうか？ 1人でも「2」と回答する人がいるようであればセキュリティが必要だと思うのですが、いかがでしょうか？

　人間は、自分たちが考えているほど強靱な心身をもっていません。ですから、性善説／性悪説の考え方で情報セキュリティを律しようとするよりも、「人間は弱いものである」という「性弱説」を採用するのがよいと筆者は思うのです。

　この「性弱説」は、「環境犯罪学」の「犯罪を行いやすい環境があれば、人は犯罪を行う可能性がある」という考え方を基にしたものです。警察庁の「平成25年の犯罪情勢」によれば、2013年に発生した住宅侵入盗（空き巣）5万7891件のうち、約45%に当たる2万6136件が無施錠の家屋を対象としています。すなわち、「犯罪を行いやすい環境」での犯罪です。実際、過去の情報漏えい事件においても、個人情報の保存媒体が無施錠の場所に無造作に置かれていたといった報告があります。

　同様の例として有名なのが「割れ窓理論」でしょう。割れた窓を放置すると、「誰もこの地域に対して関心を払っていない」という印象を与えてしまい、他の窓もやがて割られてしまう、つまり犯罪を起こしやすい環境を作り出してしまうという理論です。ルドルフ・ジュリアーニ元ニューヨーク市長は、ニューヨーク市の治安回復に割れ窓理論を応用し、成果を挙げたといわれています。

　このような「完全に安全な環境を構築できない状況では、誰でも犯罪者になる可能性がある」という環境犯罪学の考え方は、「人を見たら泥棒と思え」という考え方と同じで、人間同士の不信感の基だといわれることもあります。確かに、例えば大学の教員が自分の研究室から一時的に離れるときに、いつも財布を机の引き出しに入れて施錠するのは、研究室に出入りする仲間や学生に対する不信感の現れかもしれません。しかし、リスクは時と共に変化するものであり、仲間同士の信頼感も不変のものではありません。引き出しに鍵を掛けることで安全な環境が構築でき、リスクの大きな変化を防ぐことができるのであれば、そうするのが望ましいでしょう。これも「性弱説」の考え方です。

　ただし、「誰でも犯罪者になる可能性がある」という考え方が弊害を生まないようにする仕組みを作ることも重要です。例えば、複数の利用者が同じユーザーIDを利用する「共用ユーザーID」方式を採用しているあるシステムにおいて、情報漏えいが発生してしまったとしましょう。仮にIDを共有していたのが20人だったとして、上記の考え方に基づけば、20人全員に疑いの目を向けざるを得ません。犯人以外の人は、「針のむしろ」に座っている気持ちになるでしょう。最悪の場合、退職しなければならなくなるかもしれません。

　このような場合、個別にユーザーIDを利用し、個別にログを記録する仕組みをとっていれば、少なくとも情報盗取をしていないユーザーIDがどれかを判断することができ、犯罪者でない者が不当な不利益を被るのを防ぐことができます。個別にユーザーIDを利用させ、ログ記録を取り、ログを検証するのはセキュリティで最も大切なことの一つです。

　さて、第1回となる今回は、本連載の目的やベースとなる考え方について説明しました。次回以降は、事例を添えながら、人的な側面からの情報セキュリティについてさらに考えていきます。