サイバーセキュリティにおける人間の感情についての研究論文メモ
はじめに
長年、サイバーセキュリティの世界では人間が「最も弱いリンク」と見なされてきた。従業員は怠惰だとか意欲に欠けるといった理由で片付けられがちで、その結果、面倒なセキュリティプロセスや恐怖心を煽るアプローチが使われることが多かった。でも最近は、人間を組織の社会技術的システムの不可欠な部分として認識する流れになってきていて、サイバーセキュリティと人間の相互作用を理解することの重要性が高まっている。
フォン・プロイシェン、シューマッハー、ツィマーマンによる研究では、サイバーセキュリティにおける感情の役割を包括的に調査している。彼らの研究によると、これまでの研究は主に恐怖や不安などのネガティブな感情にのみ焦点を当て、感情の複雑さを無視していたという。
| 既存研究の課題 | 新しいアプローチの特徴 |
|---|---|
| 限られた感情(主に恐怖)にのみ焦点 | 感情の全範囲を探求 |
| 矛盾する研究結果 | 統合的な枠組みを提供 |
| 感情の複雑さを無視 | 混合感情と矛盾する感情を認識 |
| 限られた研究手法 | 定性的調査と詳細なインタビューを組み合わせ |
この研究の目的は、サイバーセキュリティに関連する感情、その原因、そして結果について包括的に理解すること。単に「恐怖」や「フラストレーション」だけでなく、従業員が実際に経験している感情のスペクトル全体を理解できれば、より効果的なセキュリティ対策が設計できるはずだ。
サイバーセキュリティにおける感情の理解
この研究では、サイバーセキュリティにおける感情を深く理解するために、複数の方法を組み合わせたアプローチを採用している。質的調査(N=112)と詳細なインタビュー(N=26)を通じて、サイバーセキュリティに関する感情体験を直接捉えることを目指している。
| 研究方法 | 詳細 |
|---|---|
| 定性的アンケート | ・112人の参加者 ・少なくとも18の業界をカバー ・企業規模は1人から1000人以上まで多様 |
| 詳細インタビュー | ・26人の参加者 ・12の業界をカバー ・フェイス・エモーション・メジャーメント・インスチュメント(PrEmo)を使用 ・感情関連ワードリストを活用 ・感情強度の評価を取得 |
| 感情の分類 | ・サーカムプレックスモデル(快-不快、覚醒-鎮静の二軸)を利用して感情を分類 |
| データ分析 | ・テーマ分析を使用し、コード化されたテーマから感情、原因、結果のパターンを特定 |
感情の分類には、サーカムプレックスモデルが活用されている。このモデルは感情を「覚醒」(低覚醒から高覚醒)と「快不快」(ネガティブからポジティブ)の2つの次元で分類するもの。例えば、「悲しみ」はネガティブな感情価と中程度の覚醒レベルによって特徴づけられる。
このアプローチにより研究者たちは、単に感情を列挙するだけでなく、それらの感情がどう関連し合い、どんな原因から生じ、どんな結果をもたらすかを理解することができた。なかなか面白い方法だと思う。
サイバーセキュリティの感情的風景
研究の結果、従業員はサイバーセキュリティに対して多様な感情を抱いていることが明らかになった。興味深いのは、ほとんどの参加者が混合感情を経験していること。つまり、同じ人がサイバーセキュリティに対して、ポジティブな感情とネガティブな感情の両方を同時に抱いていることが多い。
| 感情の分類 | 代表的な感情 | 特徴 |
|---|---|---|
| 高覚醒・ポジティブ | ・興味 ・魅了 ・行動意欲 |
・活性化された肯定的な状態 ・学習や情報探索行動と関連 |
| 高覚醒・ネガティブ | ・不安 ・緊張 ・脅威 ・恐怖 |
・活性化された否定的な状態 ・警戒や回避行動と関連 |
| 低覚醒・ポジティブ | ・安心 ・幸福 ・希望 ・信頼 |
・リラックスした肯定的な状態 ・受動的な安心感と関連 |
| 低覚醒・ネガティブ | ・イライラ ・退屈 ・不快 ・失望 |
・消極的な否定的状態 ・無関心や回避と関連 |
全体として、参加者はポジティブな感情よりもネガティブな感情を多く表現していた。また、高覚醒の感情(例:「興味がある」)よりも低覚醒の感情(例:「恐れる」)が一般的だった。最も一般的に報告された感情は「イライラ」で、ほぼすべての参加者がこれを挙げている。これは日頃の業務でなんとなく感じる印象とも一致する気がする。
感情は単独で存在するわけではなく、相互に関連し合っている。例えば、サイバーセキュリティの複雑さによる「困惑」と、その重要性に対する「関心」を同時に感じる人が多い。このような感情の混在は、サイバーセキュリティへの対応を複雑にする要因になっていると言えそうだ。
サイバーセキュリティの感情を引き起こすもの
研究では、サイバーセキュリティに関連する感情の原因として、4つの主要なテーマが特定された。まとめるとこんな感じ。
https://www.usenix.org/system/files/soups2024-von-preuschen.pdf
| 感情の原因カテゴリー | 具体的な要因 |
|---|---|
| 個人的要因 - 個人的認識 | ・知識と経験のレベル ・保護レベルの認識(能動的) ・自律性の欠如 ・内部の葛藤 ・脆弱性の認識 ・予想される結果 ・データの価値認識 |
| 個人的要因 - サイバーセキュリティの認識 | ・サイバーセキュリティの認識とその関連性 ・リソース集約性と障害の認識 ・コントロールレベルの認識 ・必要性レベルの認識 ・複雑さの認識 ・メディア報道がサイバーセキュリティ認識のトリガーに |
| 対人的要因 | ・自己認識と他者の認識 ・社会的交流のレベル ・専門家との関係認識 |
| 組織的要因 | ・保護レベルの認識(受動的) ・教育のデザインと頻度の認識 ・セキュリティ文化の認識 ・要求と要件の認識 ・エラー文化 |
特に重要なのは、多くの参加者がサイバーセキュリティに対して内部葛藤を経験していること。例えば、世界を安全な場所として見て信頼関係を築きたいという願望と、常に警戒心を持ち不信感を抱く必要があるというプレッシャーの間で葛藤している。
「今日の世界ではそういうものだと理解しています。警戒し、注意を払い、それに対処する方法を学ばなければなりません。[...]自分のためにそれを受け入れていますが、いつもそれが好きというわけではありません。」と、ある参加者は述べている。身に覚えがある。
また、メディア報道も感情に大きな影響を与えていることがわかった。参加者たちは、サイバーセキュリティが人類に遠大な結果をもたらす否定的な用語として描かれていると述べている。特に関連企業への攻撃に関する報道は感情を刺激するらしい。これは確かに想像できる。
サイバーセキュリティの感情のもたらす結果
研究では、サイバーセキュリティ関連の感情がもたらす結果も広範囲に渡ることが示された。これらの結果は、認知的、行動的、社会的、そしてより広範な波及効果に分類できる。
https://www.usenix.org/system/files/soups2024-von-preuschen.pdf
| 結果のカテゴリー | 具体的な影響 |
|---|---|
| 認知的効果 | ・心理的距離と抑圧 ・外部化 ・サイバーセキュリティとスキルの歪んだ概念 ・自己効力感のレベル ・ポジティブな結果への期待 |
| 行動的効果 | ・注意、意識、警戒のレベル ・学習へのアプローチのレベルと効果 ・回避と拒絶 ・知識-行動ギャップ ・セキュリティ意識の高い行動 ・(隠された)安全でない行動 |
| 社会的効果 | ・社会的サポート探求のレベル ・共同性のレベル |
| 波及効果 | ・感情的疲労 ・生産性の低下 ・回復の必要性 |
特に懸念されるのは、サイバーセキュリティに関する否定的な感情が「感情的疲労」を引き起こす可能性があること。参加者の半数以上が、サイバーセキュリティに対する感情が恐怖、特定のトピックや作業の回避、そして全体的な負担感として現れると述べている。
「この感情が永続的であれば、最終的には一種の嫌悪感に変わり、その結果、対策が実施されなくなるでしょう」とある参加者は述べている。なるほど、これが「セキュリティ疲れ」の正体かもしれない。
また、生産性の低下も大きな問題だ。参加者たちは、サイバーセキュリティに対する感情が日々の生産性に影響し、主要な作業タスクや新しい技術の採用に影響を与えると強調している。常に警戒し、フィッシングメールをチェックする必要があることにフラストレーションや苛立ちを感じ、時には潜在的に重要なメールを無視したり直接削除したりすることにつながっているらしい。これは確かに日常業務でよく見かける光景だ。
感情にポジティブなセキュリティの構築
この研究の発見を基に、セキュリティ実務者に向けた実践的な推奨事項がいくつか示されている。まず第一に感情志向のマインドセットを確立し、その上で高覚醒の感情を促進し、低覚醒のネガティブな感情を軽減することが重要だという。
| 推奨アプローチ | 実践方法 |
|---|---|
| 感情志向のマインドセットの確立 | ・共感を育む ・感情を共有するチャネルの確立 ・組織内での実際のサイバーセキュリティストーリーの共有 ・舞台を整える ・心理的安全性の文化の創造 ・サイバーセキュリティを関連性のある用語で提示 ・感情の反省を促す ・バランスの取れた健全な感情状態の維持 |
| 高覚醒感情の強化と低覚醒感情の軽減 | ・知識レベルと専門性の向上 ・学習者の知識レベルの評価 ・ニーズに合わせたトレーニングの提供 ・コントロール感の提供 ・明確なコミュニケーション ・ハンズオン戦略の伝達 ・セキュリティ目標の明確化 ・個別化されたサイバーセキュリティ教育 ・多様な学習スタイルへの対応 ・実世界のシナリオに基づいた教材の開発 |
| 恐怖に頼らないアプローチ | ・短期的な恐怖アピールの効果にもかかわらず、長期的には逆効果 ・心理的距離感や感情的疲労を引き起こす可能性 ・恐怖ベースのアプローチよりも感情的反省を優先 |
特に注目すべきは、恐怖を煽るアプローチの問題点だ。先行研究では恐怖アピールの短期的な肯定的効果が示されているけど、従業員を脅して従わせることは、恐怖、ネガティブな低覚醒感情、セキュリティ行動への悪影響、対人・組織環境へのマイナス影響、そしてサイバーセキュリティ関連の認識に悪影響を及ぼす可能性がある。
恐怖アピールは短期的なセキュリティ決定を動機づけるかもしれないけど、最終的には心理的距離感や感情的疲労を引き起こす危険がある。これらのリスクを軽減するため、研究者たちは恐怖ベースのアプローチよりも感情的反省を優先することを推奨している。実務者としては覚えておくべきポイントだと思う。
まとめ
この研究は、サイバーセキュリティにおける感情の役割を理解する上で重要な一歩を示している。サイバーセキュリティに関連する感情、その原因、そして結果の複雑な相互作用を解き明かすことで、より効果的で人間中心のセキュリティアプローチを開発するための道を拓いている。
| 研究の主な貢献 | 将来の方向性 |
|---|---|
| サイバーセキュリティ感情の包括的探求 ・多様な感情の特定 ・感情の円環モデルによる構造化 |
・特定のサイバーセキュリティ領域における感情の詳細な検討 |
| 原因と結果の理論的モデルの開発 ・4つの主要な原因カテゴリ ・4つの主要な結果カテゴリ |
・感情とその(共)依存関係の定量的分析 |
| 実務者への推奨事項の提供 ・感情志向マインドセットの確立 ・高覚醒感情の強化と低覚醒感情の軽減 |
・時間の経過に伴う感情の変化の探求 ・インシデント対応時の感情変化 ・長期的な影響 |
限界として、この研究は感情のワイドレンジを調査したけど、特定の感情配置の複雑な依存関係を広範囲に分析することはできなかった。また、定量的な結果を得るには限界があった。
結局のところ、サイバーセキュリティは単なる技術的な問題ではなく、深く人間的な側面を持っている。感情を理解し、それに対応することで、より効果的で持続可能なセキュリティ文化を構築することができる。ユーザーをシステムの「最も弱いリンク」としてではなく、セキュリティの「最前線の守護者」として捉えるパラダイムシフトが必要なのかもしれない。個人的には、この方向性にすごく共感する。
Discussion