リスク認知とトレードオフ
繰り返し語られていることではあるけれど。
- “...no one can hack my mind”: Comparing Expert and Non-Expert Security Practices
- Google Japan Blog: サイバーセキュリティ月間:エキスパートたちのセキュリティ対策
- セキュリティの専門家とそうでない人のセキュリティ対策の違いとは、Googleが論文紹介 -INTERNET Watch
面白いのはこの表。
本論文では、オンラインにおける安全性を確保するために行っている対策について、セキュリティ専門家 231 人と一般のインターネットユーザー 294 人に対して行った調査結果から、異なる 2 つのグループからの回答をもとに、それぞれの対策や判断の違いと理由をまとめたものです。
以下は、最も回答が多かったセキュリティ対策を、エキスパートと一般ユーザーで分類した表です。
| 一般ユーザ | 順位 | セキュリティ・エキスパート |
|---|---|---|
| アンチウイルスソフトを使う | 1 | ソフトウェアアップデートをインストールする |
| 強固なパスワードを使う | 2 | サービスごとにユニークなパスワードを使う |
| 頻繁にパスワードを変える | 3 | 2段階認証を使う |
| 知ってるウェブサイトしか利用しない | 4 | 強固なパスワードを使う |
| 個人情報は公開しない | 5 | パスワード管理ツールを使う |
これとよく似た表があったな,と思ったら吉川肇子さんの『リスクとつきあう』という本の中にあった。 それは「危険と感じられる活動や科学技術」を30項目挙げ順位をつけたものであるが,全部を載せるのは無理なので,大学生のワースト3とトップ3を挙げ,それに対する専門家の順位を並べてみる。
| 活動や科学技術 | 大学生順位 | 専門家順位 |
|---|---|---|
| 原子力 | 1 | 20 |
| 拳銃 | 2 | 4 |
| 喫煙 | 3 | 2 |
| 動力草刈り機 | 28 | 28 |
| 予防接種 | 29 | 25 |
| 水泳 | 30 | 10 |
ちなみに専門家の1位は「自動車」である。 もっともこの表は1987年の論文のもので現在とは知見が異なると思うけど1,注目すべきは一般の人と専門家とのリスク「感覚」のギャップである。
リスクは「生起確率×脅威の大きさ」で測るが,私を含め一般の人はこの「感覚」に慣れていない。 何らかの認知バイアスが必ずかかってしまう。 それがこのギャップとなって顕われるのだと思う。
だからこの表を見て「専門家の言うとおりにしなきゃ」と考えるのは早計で2,自身のリスク「感覚」を磨いていくことが重要である。 本当はそういうのは義務教育のうちにやっとくべきなんだろうけどね。
さらに言うなら,個人と営利企業と国家とではリスクに対してそれぞれ執るべき行動が異なる。 何故なら,それぞれの「守るべきもの」が異なるから。
個人にとってまっさきに重要なのはプライバシーと財産だろう。 営利企業は個人と似ているが,賢い企業はリスクをお金に換算できる。 故に「リスクはチャンス」なのだ。 そして国家にとっては「軍事」を含めた包括的なものであり,特定の個人や企業との利害には(基本的には)興味が無い3。
そういえば最近こんな記事があった。
国家にとって「サイバー・セキュリティ」の防衛力の高さは「サイバー攻撃」力の高さに直結する(たとえそれを行使する気がなくとも)。 だから各国は「サイバー・セキュリティ」の向上を目指さざるをえない。 「サイバー・セキュリティ」防衛力の高さを誇示することが他国に対する示威行動になる。 この記事の最後の文章を挙げておこう。
日本で〇〇万人のセキュリティ技術者が不足しているという報道があるのと同じように、韓国でも〇〇万人(韓国では10万人説が主流)のセキュリティ技術者が不足しているとマスコミは報道したがるそうです。
それでも中の人は、サイバーセキュリティは数ではなく質だということをきちんとわかっていて、韓国トップクラスの技術者が世界トップクラスになるための工夫を続けています。
ホンマ,日本年金機構の不始末にかこつけて「セキュリティ戦略」を利権化しようという意図は分かりやすいが,単に動員に頼るんじゃなく,本当の意味での「戦略」をきちんと企図して実行しないと,まぁた世界から取り残されるよ。
愚痴はともかく,ただ政府やセキュリティ企業や(自称を含む)専門家に従えばいいというわけではなく,自分にとって何が大事で何を守るべきかを客観的に把握できていなければならない。 「彼を知り己を知れば百戦殆からず」である。 孫子だっけ?
最後にリスクと利便性はトレードオフできない。 リスクとトレードオフできるのはリスクのみ。 リスクをトレードオフして「全体最適化」することが重要なのである4。 故に優先順位がとても重要になる。 そこで最初の表に戻るわけだ。
「辞書攻撃」で簡単に解読できるようなパスワードを「強固」と思い込んで必死で暗記したのに,何かの拍子で忘れてしまってサービスが使えなくなった上に攻撃者に乗っ取られる。 なんてお馬鹿なことにならないように。 使える道具はきっちり使って人間の弱さや曖昧さを許容しつつ排除するよう構成するなら,個人にとっての「サイバー・セキュリティ」はそれほど難しいことではない。
参考図書
- セキュリティはなぜやぶられたのか
- ブルース・シュナイアー (著), 井口 耕二 (翻訳)
- 日経BP 2007-02-15
- 単行本
- 4822283100 (ASIN), 9784822283100 (EAN), 4822283100 (ISBN)
- 評価
原書のタイトルが “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” なのに対して日本語タイトルがどうしようもなくヘボいが中身は名著。とりあえず読んどきなはれ。ゼロ年代当時 9.11 およびその後の米国のセキュリティ政策と深く関連している内容なので,そのへんを加味して読むとよい。
- 環境リスク学
- 中西準子 (著)
- 日本評論社 (Release 2013-08-01)
- Kindle版
- B00E7HMI7U (ASIN)
- 評価
環境リスクのみならず「リスク」全体に目配せした良書。著者の自伝的作品でもある。
- リスクとつきあう―危険な時代のコミュニケーション (有斐閣選書)
- 吉川 肇子 (著)
- 有斐閣 2000-03-01
- 単行本
- 4641280304 (ASIN), 9784641280304 (EAN), 4641280304 (ISBN)
- 評価
リスク・コミュニケーションについて。内容は古いがまだまだ使える。