@nifty トップ  > 会員向けサービス  > セキュリティ@nifty  > セキュリティ特集記事  > ニフティ伊藤求のセキュリティ・スコープ  > 第7回 人はなぜ危機に備えないのか
セキュリティ特集記事 伊藤求のセキュリティ・スコープ

第7回 人はなぜ危機に備えないのか

2008年4月25日

PCユーザの20%が無防備

PCユーザの20%が、アンチウイルスソフトやWindows Updateなどのセキュリティ対策を実施していない。先日発表されたIPA(情報処理推進機構)の「情報セキュリティに関する脅威に対する意識調査」*1によると、アンチウイルスソフトなどのセキュリティ対策ソフトウエアを導入していない、Window Updateによるセキュリティパッチを更新していないユーザが、20%弱いるという調査結果がでました。
日本の世帯数が約5100万世帯で、世帯あたりのインターネット普及率が83%ということを考えると、約850万台のPCが「無防備」な状態でインターネットに接続されていることになります。

PCセキュリティに関する被害が日々ニュースで流れているにもかかわらず、これほど多くのPCがセキュリティ対策されていないのはなぜなのでしょうか?


*1情報処理推進機構(IPA)
「情報セキュリティに関する脅威に対する意識調査(2007年度第2回)」
総務省
住民基本台帳に基づく人口・人口動態及び世帯数
Internet Watch
国内世帯の半数がブロードバンドを利用、「インターネット白書2007」調査

「自分は大丈夫!」人はなぜ危機に備えないのか?

「地震や津波などの人命に関わる事態さえ備えないのだから、PCのセキュリティ対策に備えるはずがない」。では、「なぜ、人は危機に備えないのか?災害に備えない人の心理」−先日参加したある情報セキュリティ系セミナーにおける群馬大学大学院片田敏孝教授のご講演テーマでした。

片田先生はその中で「自分は大丈夫」という「正常化の偏見」と「わかっちゃいるけど…」という「認知的不協和」が、「対策する意志決定をする」ことを妨げ、結果として「対策しない事実」が残る。とお話しされていました。

「正常化の偏見」とは、「人は自分に都合の悪い情報を無視したり、過小評価すること」で、例えば、「宝くじに当たることは想像するが、交通事故に遭うことは想像しない」や「非常ベルが鳴ってもそれを過小評価して逃げない」という事例が代表例とのこと。

また、「認知的不協和」とは、例えば、対策しなければいけないことは「わかっちゃいる」が「今までも大丈夫だった」「あの人もやっていない」といった「自分を正当化する理由を探す」ことで納得してしまうこと。

これら2つの心理が作用して、「対策しない意志決定をしているわけではなく、対策する意志決定をしていない」という行動になり、結果的には「対策しない」「危機に備えない」原因となるというものです。


・Joint Workshop on Security 2008, Tokyo
キーノートスピーチ: 人はなぜ危機に備えないのか−災害に備えない人の心理を探る−群馬大学大学院工学研究科 教授 片田敏考
・NkkeiBP IT pro
人はなぜ「自分は大丈夫」と思うのか,防災研究家の片田群馬大学教授に聞く

セキュリティ対策する決意

片田先生のお話にあるように、自分が実際にウイルスやボットに感染した時の結果を予測・理解して、その対策のためにWindows Updateの実施やアンチウイルスソフトを導入する意志決定をしてみるのはいかがでしょうか?「ウイルスやボットの被害に自分は遭わない」とは考えずに「遭った時の状況」を理解することで「対策する決意」をするのです。

ウイルスやボットに感染した場合、直接的な被害はID・パスワードやクレジットカード番号ですが、二次被害としてお金や時間を失います。そして、それらの被害の結果は不便になることです。
例えば、以前も書きましたが、最近のウイルス・ボット作者の目的はお金です。オンラインゲームサイトのIDやパスワードを盗んでゲームアイテムを売買する RMT(Real Money Trading)と呼ばれる不正売買を行ったり、ショッピングサイトで使われたクレジットカード番号を盗み、それで商品を購入・換金して儲けたりするのが目的です。
このような被害にあった時、たとえ保険に入っていて金銭的被害はなかったとしても、元の状態に戻すまで多くの手間と時間がかかります。
PCの初期化・再インストール、オンラインゲームのアイテムをすべて失ったり、クレジットカードの再発行が必要になり、その間使えなかったりなど、今までとは異なる不便な状態が続く可能性があります。

このように、インターネットを使って「便利」になるはずが、PCセキュリティ対策を「決意しない」だけで「不便」になるのだとしたら、「決意しておけば良かった!」ってことにならないでしょうか?

もし読者の皆さんの中に「なんとなくセキュリティ対策している」という方がおられたら、この機会に「対策する決意」をしてみませんか

プロフィール:伊藤求(いとうもとむ)

ニフティ株式会社所属。神戸大学学術情報基盤センター助手から有限責任中間法人 JPCERTコーディネーションセンター運用グループマネージャを経て現職。安心・安全なインターネットのため、少しでも社会貢献できないかと考え、コラムで情報発信をしています。

趣味はコンピューターセキュリティ最新動向のチェイシング。現在 ボットネットとも格闘中(笑)