技術設計者は、製品を構築し、それをユーザーでテストすることから始めます。 製品が最初に来ます。 ユーザー入力は、その実行可能性を確認し、改善するために使用されます。 アプローチは理にかなっています。 マクドナルドやスターバックスも同じです。 レシピを想像できないのと同じように、人々は新しい製品を想像することはできません。
しかし、パラダイムはセキュリティ技術の設計にも拡張されており、ユーザーを保護するためのプログラムを構築し、ユーザーにそれらを適用するよう依頼しています。 そして、これは意味がありません。
セキュリティは概念的なアイデアではありません。 人々はすでに電子メールを使用し、Web を閲覧し、ソーシャル メディアを使用し、ファイルや画像を共有しています。 セキュリティは、ユーザーが電子メールを送信したり、閲覧したり、オンラインで共有したりするときに既に行っていることの上に重ねられる改善です。 シートベルトの着用を求めるのと同じです。
セキュリティを別の視点から見る時が来ました
しかし、セキュリティに対する私たちのアプローチは、ドライバーの安全を教えながら、人の運転方法を無視しているようなものです。 これを行うことで、ユーザーが何かをより良いと信じてやみくもに採用するか、逆に、強制されたときに単にそれに従うだけになります。 いずれにせよ、結果は最適ではありません。
VPN ソフトウェアの場合を考えてみましょう。 これらは大々的に宣伝されています 必須のセキュリティおよびデータ保護ツールとしてユーザーに提供されていますが、ほとんどの場合 有効性なしに制限. 彼らは、ユーザーがそのような保護を信じてより多くのリスクを冒すことは言うまでもなく、保護を信じているユーザーをより大きなリスクにさらします. また、現在多くの組織で義務付けられているセキュリティ意識向上トレーニングについても検討してください。 トレーニングが自分の特定のユース ケースに無関係であることに気付いた人は、回避策を見つけ、多くの場合、数え切れないほどのセキュリティ リスクにつながります。
これにはすべて理由があります。 ほとんどのセキュリティ プロセスは、テクノロジ製品の開発経験を持つエンジニアによって設計されています。 彼らは、技術的な課題としてセキュリティに取り組みます。 ユーザーは、システムに対するもう XNUMX つのアクションであり、予測可能な機能を実行するようにプログラムできるソフトウェアやハードウェアと同じです。 目標は、適切な入力の定義済みテンプレートに基づくアクションを含めることで、結果が予測可能になるようにすることです。 これはユーザーが何を必要としているかを前提としたものではなく、事前に設定されたプログラミング アジェンダを反映しています。
この例は、今日のソフトウェアの多くに組み込まれているセキュリティ機能に見られます。 電子メール アプリを例にとると、ユーザーが受信電子メールのソース ヘッダー (送信者の身元を明らかにする可能性のある重要な情報のレイヤー) を確認できるものと、そうでないものがあります。 または、モバイル ブラウザーを例にとると、ユーザーが SSL 証明書の品質を確認できるようにするものと、そうでないものがありますが、ユーザーはブラウザー間で同じニーズを持っています。 特定のアプリを使用している場合にのみ SSL やソース ヘッダーを確認する必要があるわけではありません。 これらの違いが反映しているのは、製品がユーザーによってどのように使用されるべきかについての各プログラミング グループの独自の見解、つまり製品第一の考え方です。
ユーザーは、さまざまなセキュリティ テクノロジの開発者が約束したものを提供していると信じて、セキュリティ要件を購入、インストール、または遵守しています。
ユーザー ファーストのセキュリティ アプローチの時代
セキュリティ パラダイムを逆転させることが不可欠です。つまり、ユーザーを第一に考え、その周りに防御を構築する必要があります。 これは、私たちが人々を保護しなければならないという理由だけでなく、間違った保護意識を助長することによってリスクを助長し、人々をより脆弱にしているためでもあります. 組織は、コストを管理するためにもこれを必要とします。 世界の経済がパンデミックや戦争でぐらつきましたが、過去 XNUMX 年間の組織のセキュリティ支出は幾何学的に増加しました。
ユーザー ファーストのセキュリティは、人々がコンピューティング テクノロジをどのように使用しているかを理解することから始めなければなりません。 ユーザーが電子メール、メッセージング、ソーシャル メディア、ブラウジング、ファイル共有を介したハッキングに対して脆弱になっているのは何ですか?
リスクの根源を解きほぐし、その行動的、大脳的、および技術的なルーツを特定する必要があります。 これは、開発者がセキュリティ製品を構築する際に長い間無視してきた情報です。そのため、最もセキュリティを重視する企業でさえ、依然として侵害を受けています。
オンラインでの行動に注意する
これらの質問の多くは すでに回答済み. セキュリティの科学は、ユーザーがソーシャル エンジニアリングに対して脆弱になる原因を説明しています。 ソーシャル エンジニアリングはさまざまなオンライン アクションを対象としているため、この知識を応用して幅広い行動を説明できます。
特定された要因の中には、 サイバーリスクの信念 — オンライン行動の危険性についてユーザーが心に抱いている考え 認知処理戦略 — ユーザーがどのように認知的に情報に対処するかは、ユーザーがオンライン時に情報にどれだけ注意を払うかを決定します。 別の一連の要因は次のとおりです。 メディアの習慣と儀式 これは、一部はデバイスの種類によって、一部は組織の規範によって影響を受けます。 信念、処理スタイル、および習慣が一緒になって、オンライン コミュニケーションの一部 (電子メール、メッセージ、Web ページ、テキスト) がトリガーされるかどうかに影響します。 疑惑.
ユーザーの疑いをトレーニング、測定、追跡する
疑いとは、何かに遭遇したときの不安、何かがおかしいという感覚です。 ほとんどの場合、情報を求めるようになり、適切な種類の知識や経験を身につけていれば、欺瞞の検出と修正につながります。 フィッシングの脆弱性につながる認知的および行動的要因とともに疑いを測定することにより、 組織は、何がユーザーを脆弱にしたのかを診断できます. この情報は定量化され、リスク指数に変換され、最も危険にさらされている人々を特定するために使用できます — 最も弱いリンク —そしてそれらをよりよく保護します。
これらの要因を把握することで、さまざまな攻撃を通じてユーザーがどのように利用されるかを追跡し、ユーザーがだまされる理由を理解することができます。 それを軽減するソリューションを開発する. エンドユーザーが経験した問題を回避するソリューションを作成できます。 セキュリティ義務を廃止し、ユーザーに関連するソリューションに置き換えることができます。
ユーザーの前にセキュリティ テクノロジを導入するために何十億ドルも費やした後も、私たちはサイバー攻撃に対して脆弱なままです。 1990年代にAOLネットワークに登場. これを変更し、ユーザーを中心にセキュリティを構築する時が来ました。
