30th ACFE Global Conference : 講演「サイバー セキュリティの専門家は、データ漏洩とサイバー犯罪を回避するために人間の行動と協力すると語る」

基調講演： テレサ・ペイトン (Theresa Payton)

サイバー セキュリティの専門家は、データ漏洩とサイバー犯罪を回避するために人間の行動と協力すると語る

Work with Human Behavior to Avoid Breaches and Cybercrime, Says Cybersecurity Expert

月曜日のランチ セッションの基調講演で、組織は、自社の顧客についてサイバー犯罪による誤情報に基づいて業務を継続し、多額の金銭を失っている、とサイバー セキュリティ専門家であるテレサ・ペイトン (Theresa Payton) は述べた。「〔サイバーセキュリティと不正に関する〕一般的通念は『人間が最大の弱点である・・・。これがセキュリティ問題を抱える理由である』ということです。私はこの慣例を変えたいと思います」

「私は金融サービス業界にいたときにそのように感じていました。『自分の知っていることについてお客様をもう少し訓練することができたらいいのに。そうすれば私の仕事はもっと安全で簡単になり、私達は皆もっと幸せになれるのに』と思っていました。私達は何十年もそのように話してきました。『人はなぜリンクをクリックするのだろう？　人はなぜ添付ファイルを開いてしまうのだろう？　なぜ人はそういう過ちを犯すのだろう？』と自問してきました。

「しかし私達は、セキュリティや不正対策の戦略を、特別に人間を中心にして立案してきたわけではありません」とペイトンは述べた。「『このような不正対策統制をどう実施するかについて、我々は慎重でなければならない。お客様との間に大きな摩擦を起こしたくないから。不正は事業をする上で損失の一つとして認めなければならない』と考えたことは何回くらいありますか？　そのような設計と考え方は誤りです」

私達は人がテクノロジーと共にリスクのあるやり方で業務を続けることを受け入れなければならない、とペイトンは述べた。すべてのテクノロジーは、現在、「相互運用可能」になるように設計されている。「あなたのスマートフォンのことを考えてみてください。車の中で〔両手を自由に使える〕ハンズフリーで話すことができます。それをスピーカーに接続できます。スマート テレビ、スマート サーモスタット、スマート ドアベル。もしあなたが大金を支払って、それが他の何かとコミュニケーションしないことが分かったら、怒るでしょう。しかし、その操作性という雰囲気は、侵入に対して開放されているということを意味するのです」

組織は、(ネット) 接続技術が普及しないように望むのではなく、それと協力する必要がある。例えば、サイバーセキュリティの専門家なら、たった一つの悪意あるホットスポット機器で企業内の IoT^[※1] のやかんから内部に侵入し、組織のシステムに密かに接続することが可能である。しかしペイトンは、英国の望ましい実例も挙げてくれた。IoT スマート ライト ポスト (街灯) は、窓ガラスの破壊、大きな物音や叫び声を検知するだろう。そして、そのライトは一層明るくなり、カメラが作動して、法執行機関が職員を派遣する必要があるかどうか判断できる。