せいうちセキュリティ

研究論文からサイバー犯罪とセキュリティを考えてみる

【論文考察】「レジリエンスとは何か」ではなくて「レジリエンスには何が必要か」を議論しよう

今回はこの論文を選んでみました。2023年4月発行のInternational Journal of Cybersecurity Intelligence and Cybercrime からの論文です。個人の「サイバーレジリエンス」に焦点を当てた研究です。今回の論文は、その結果よりも過程に注目です。

 

 

どんな人におすすめ?

レジリエンス」が重要なのはわかるけどイマイチ腹落ちしていない人に読んでもらいたい論文です。あとは、サイバーセキュリティ業界でブランディングマーケティングを担当している人に読んでもらいたい。今に始まったことじゃないです、いまやインターネットには人目を惹こうとすることだけを目的としたカタカナ語使いが溢れかえっています。本質を理解するには自分の頭で考えなければなりません。その最たるものが「レジリエンス」です。

前提として、市場全体がレジリエンスを目指すことに全く異論はなく、むしろそうすべきだと私も思っています。レジリエンスという言葉そのものが悪いわけでもありません。「カタカナ語が氾濫している!」とかいって目くじらを立てる人もいますが、言葉そのものに善悪もありゃしません。もしもカタカナ語が混乱を生み出しているとしてたら、その使い手が悪いです。私の経験上、この手の問題は、使い手側の知識に奥行がないことが原因です。大体の人はレジリエンスを「回復力とか弾力性とかそんな感じの意味」として扱っています。それ以上の知識がないので「インシデントから普及できる力」をカッコつけてレジリエンスって言ってる的なノリです。悲しいかな。でも大丈夫!この論文を読んでちょっとだけ奥行を出していきましょう。

 

どんな内容?

この論文の主旨は「一個人のサイバーレジリエンスを評価できる客観的指標を特定しようぜ」です。2016年ごろから、サイバーセキュリティ業界でもレジリエンスに焦点を当てた研究が増えてきているようです。ですが、今までは組織のレジリエンスに注目してきてはいたけど、個人のレジリエンスには全然触れてきませんでした。そうした問題提起から始まったのが今回の研究です。
この研究の結果として、「ヒューマン・サイバーレジリエンス・スケール」というイカした調査票が開発され、579名のサンプル(男性=236名、女性=340名、その他の性別=3名。参加者の地理的分布は、カナダ=152名、イギリス=275名、アメリカ=152名。サンプルの平均年齢は33.86歳)からいくつかの傾向が見えてきました。
その傾向の例として、
  • 男性は『学習』や『効果的な対策』でレジリエンスが高まりやすい
  • 女性は『社会的支援(人とのつながり)』でレジリエンスが高まりやすい

といったものがあります。どれも興味深い発見ですね。上記の発見は性差を変数とした差分に着目していますが、他にも消費者向けのセキュリティを考えるうえで面白い結果も出ていました。

 

注目ポイント

注目すべきパートは、論文の序盤にある文献レビューと、レジリエンスを構成する要素の分析です。レジリエンスが重要だってことはサイバーセキュリティ業界でも異論はないと思います。しかし大体のコンテンツには「レジリエンスを目指して頑張ろう!」的な感じでスローガンのように使われるばかり。そろそろ「レジリエントな組織や個人には何が必要なのか」を突き詰めていくべきフェーズなのではないでしょうか。

まず知識として知っておきたいのは、レジリエンスという言葉は何十年も前から使われている言葉だということです。歴史的には、最初は物理学の世界で使われていたものですね。外圧(Stress)を押し返す力という意味で弾力性(Resilience)を意味していました。そこから心理学にも応用されるようになり、やがて日常に浸透するようになりました。広く多くの人に知られるようになるにつれて、その定義や使いどころも広くなっていったわけです。今では「レジリエンス」というと心理学用語として理解されることが多く、その定義はストレスや逆境に積極的に対処する能力、すなわちストレス要因を学習経験として利用して自己成長し、将来の課題に対してより良い準備をする能力となっています。それがサイバーにも応用されて『サイバーインシデントを適切に予防・対応・対処し、復旧できる能力。インシデントから学びを得る能力』という意味合いで使われるようになりました。より抽象化してその本質を突き詰めると『ネガティブな出来事をポジティブな価値に変換する能力』と言えそうです。

そして「レジリエンスの構成要素」は以下です。サイバーではなく心理学などで定義されているものです。6つの内的要素と2つの外的要素で成り立っています。

  1. 適応力…タスクの要求を満たすために思考や行動を調整することで、逆境に生産的に対応する能力
  2. 習熟度…ストレス要因から生じる認知的・感情的混乱を予測、管理、抑制、または防止する能力
  3. 自己効力感…デジタル空間におけるユーザー個人の能力とその自覚。
  4. 積極性…楽観的な思考。逆境に前向きに取り組む能力。
  5. 忍耐力…逆境や挫折にもかかわらず目標や目的を追求しようとする個人の意欲
  6. 能動的対処…ストレス要因が発生したときに、個人が利用できる内外のリソースを意識的に活用する能力
  7. 社会的支援…ストレス要因の発生時に助けてくれる人
  8. 構造化された環境…個人が採用する規則的で一貫した行動やルーチン

上記8つがいわば「レジリエントな人」の特性なわけですが、言い得て妙かなという感じですね。サイバーにも応用ができそうです。このような特性を持つ社員を増やして、このような組織文化を醸成していくことがレジリエントな組織の作り方と考えてもよさそうです。

 

感想

今回の論文は、サイバーのことを深く知るためにはサイバー以外のことも知らなきゃダメよというのを端的に示してくれていると思います。

レジリエンスの構成要素とその説明をしっかりと考えるだけでもいろいろな発見があります。例えば、適応力とは行き当たりばったりで対処する能力ではなくて「入念に作った計画を臨機応変に変更できる能力」のことだと考えたほうがよさそうですし、忍耐力があると言えるようにするには確固たる目的や目標がないとダメだ、とか。構造化された環境なんかは、インシデント対応訓練そのものですよね。

組織のサイバーレジリエンスを目指すなら、まずは自分がレジリエントな個人になる必要があるよなぁ、と心から思いました。

 

最後までお読みいただきありがとうございました。ではまた次回。

 

おわり

 

※ 論文からの引用は発行元の規則に則っています。

ランキング参加中
セキュリティ