海の向こうの“セキュリティ”

人は危険と知っていてなぜパスワードを適切に設定しないのか?/ユーザーの「セキュリティ疲れ」をNISTが研究

人は危険と知っていてなぜパスワードを適切に設定しないのか?

 強いパスワードを設定し、使い回しをしないことは、少なくともセキュリティにかかわる者にとっては常識と言えるものですが、残念ながら世の中では「弱いパスワード」も「パスワードの使い回し」もなかなかなくならないのが現実です。

 そのような中、パスワード管理ソフトで知られる米LastPassは、調査会社のLab42と共同で、パスワード管理に関する意識調査を実施しました。調査期間は2016年5月4日から18日、調査対象は米国、ドイツ、フランス、ニュージーランド、オーストラリア、英国の18歳以上の男女2000名です。

 調査結果によると、ほとんどの人が「強いパスワードを設定し、使い回しをしないこと」が良いとは知っているものの、それでも多くの人が弱いパスワードを設定したり、使い回しをしたりしてしまっており、その理由(正当化)には、積極的でせっかちな性格とされる「タイプA」の人と、おとなしくのんびりした性格とされる「タイプB」の人で異なる傾向があるとしています。

 まず、認識の度合いとして、回答者の91%がパスワードの使い回しが危険であることを知っており、また、どのようなパスワードが安全かについてもほとんどの人が何らかの知識を持っていて、知らないと回答したのは5%に過ぎません。

(LastPassの調査報告書「The Password Paradox and Why Our Personalities Will Get Up Hacked」より)

 その一方で、パスワードの使い回しをしているのは61%に上り、イニシャルや友人・家族の名前といった他人に推測されやすいパスワードを使っている人も少なくありません。

(LastPassの調査報告書「The Password Paradox and Why Our Personalities Will Get Up Hacked」より)

 このように危険と分かっていてもやってしまう理由はいくつかありますが、中でもパスワードを忘れるのが嫌だからとしている人は全体の47%を占めています。これを男女別で見ると、男性が39%に対して女性が55%となっており、女性の方がパスワード忘れを避けようとする傾向があるようです。

 また、このような好ましくないパスワード管理をしてしまうことに対する正当化には、タイプAとされる人とタイプBとされる人とで異なる傾向があることも分かりました。なお、タイプAでもタイプBでもパスワード管理に問題のある人がいることに変わりはないという点に注意が必要です。

 まず、回答者全体の半分近くを占めているタイプAでは、「自分は対策しているのでパスワードの使い回しをしても大丈夫、それよりもパスワードを覚えておく方が大事」と考える傾向があります。一方、半分以上を占めているタイプBでは、「自分のアカウントにはハッカーが狙うほどの価値はない」と考える傾向が見られています。

(LastPassの調査報告書「The Password Paradox and Why Our Personalities Will Get Up Hacked」より)

 LastPassの調査なので「パスワード管理ソフトを使うべき」という結論ありきであることは明白ですし、調査結果自体に驚くほどの目新しいものはないのですが、性格の違いによって「言い訳」の仕方に違いがあるというのは、パスワード管理に関する啓発の仕方を考える際の参考にはなりそうです。しかし、タイプAとタイプBというあまりに単純化された分け方は果たして本当に適切と言えるのかという疑問もあり、今回の結果もあまり深刻に捉えるのではなく、「そういう調査結果もあるよね」くらいにとどめておく方がいいのかもしれません。

 いずれにせよ、ユーザーへのさらなる啓発や意識付けも必要ですが、それ以上に「ユーザーの負担の少ない、使いやすい認証の仕組み」が求められていることは間違いないでしょう。

ユーザーの「セキュリティ疲れ」をNISTが研究

 上述のパスワード管理の問題をはじめとして、「セキュリティというもの」の面倒臭さにユーザーがうんざりしている中、そのような「セキュリティ疲れ(security fatigue)」の実態と対策に関する米国立標準技術研究所(NIST)による研究結果が発表されました。

 この研究は、20代から60代の、さまざまな職業に就いている、さまざまな地域で暮らす約40名の非技術者に対するインタビューに基づいています。40というサンプル数は「量」としてかなり少ないですが、研究者らは1人に45分から1時間をかけてじっくりとヒアリングしており、「質」を重視していると主張しています。

 調査結果そのものは、端的に言ってしまえば、「セキュリティって面倒臭くてイヤだよね」というだけのことなのですが、そういった「嫌気」のためにユーザーがかえって危うい行動を取ってしまうことが今回の調査で明らかになったとしています。さらに、調査結果を分析した結果、ユーザーに危うい行動をさせないようにするための対策として、以下の3点を挙げています。

  • セキュリティに関してユーザーが自ら意思決定しなければならない回数を限定する
  • セキュリティ上、適切な行動をユーザーが簡単に選択できるようにする
  • できるだけ首尾一貫した意思決定を可能にする設計(デザイン)をする

 しかし、いずれの内容も、調査するまでもなく、分かりきった当たり前のことで、今回の研究結果自体に目を見張るような新たなものはほとんど何もなかったと言って過言ではありません。それでも、この研究はまだ第一歩を踏み出したばかりであり、今後の展開に期待すべきではないかと考えます。今回はインタビュー対象が非技術者に限定されていましたが、今後はセキュリティの専門家をはじめ、ヘルスケアや金融、教育などの分野で個人情報を守る責任はあるが、セキュリティを最優先とすべき立場にあるわけではないポジションで働いている人へのインタビューも予定されており、さらに研究チームにはセキュリティの専門家、心理学者、社会学者、人類学者も加える予定とのことなので、何か新しいアイデアが生まれる可能性もないとは言えません。どのような成果が得られるかは現時点で全く分かりませんが、研究には期待しています。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。