職場で提供されているコンピューターの安全性に関する指示に混乱したことがあるのは、あなただけではありません。最近の調査では、これらのガイドラインの作成における根本的な問題が明らかになり、ガイドラインを強化するための即時措置を提案しています。これにより、コンピューターのセキュリティが向上する可能性があります。
企業と政府機関が同様に従業員に提供しているコンピュータ セキュリティ プロトコルをめぐる懸念があります。このプロトコルは、マルウェアやフィッシング攻撃などの危険から従業員が個人データや組織データを保護できるように設計されています。
「コンピュータ セキュリティの研究者として、オンラインで読んだコンピュータ セキュリティに関するアドバイスの中には、混乱を招くもの、誤解を招くもの、またはまったく間違っているものがあることに気づきました」と、この新しい研究の責任著者であり、ハーバード大学コンピュータ サイエンスの助教授であるブラッド リーブス氏は述べています。 「場合によっては、その推奨事項がどこから来たのか、何に基づいているのかがわかりません。それがこの研究のきっかけでした。これらのガイドラインは誰が作成していますか?その推奨事項は何に基づいていますか?そのプロセスは何ですか?もっと改善できることはありますか?」
この研究のため、研究者らは、大企業、大学、政府機関などの組織向けにコンピュータ セキュリティ ガイドの作成を担当する専門家に 21 回の詳細なインタビューを実施しました。
「ここで重要な点は、これらのガイドラインを作成する人々が可能な限り多くの情報を提供しようとしているということです」とリーブス氏は述べた。 「理論的には、これは素晴らしいことです。しかし、著者らは最も重要な推奨事項に優先順位を付けていません。あるいは、より具体的に言うと、重要性の低いポイントの優先順位を下げていません。非常に多くの安全に関する推奨事項を含めると、ガイドラインが膨大になり、最も重要なポイントが混乱の中で失われる可能性があります。」
研究者らは、安全ガイドラインが非常に圧倒的である理由の 1 つは、ガイドライン作成者がさまざまな信頼できる情報源からのあらゆる項目を組み込む傾向にあることを発見しました。
「言い換えれば、ガイドライン作成者は読者のために安全性情報を厳選するのではなく、安全性情報を編集しているのです」とリーブス氏は述べた。
インタビューから学んだことに基づいて、研究者らは今後の安全指導を改善するための 2 つの推奨事項を作成しました。
まず、ガイドライン作成者は、セキュリティ ガイドがユーザーに何を知るべきか、その情報に優先順位を付ける方法を伝えるために、情報の管理方法に関する明確なベスト プラクティスを必要とします。第 2 に、ライターとコンピューター セキュリティ コミュニティ全体は、さまざまなレベルの技術的能力を持つ読者にとって意味のある重要な情報を必要としています。
「ほら、コンピュータのセキュリティは複雑だ」とリーブス氏は言う。 「しかし、医学はもっと複雑です。それでも、パンデミックの間、公衆衛生の専門家は、新型コロナウイルス感染症に感染するリスクを軽減する方法について、非常にシンプルかつ簡潔なガイダンスを国民に提供することができました。コンピューターのセキュリティについても、同じことができるようにする必要があります。」
最終的に研究者らは、セキュリティに関するアドバイスの作成者に支援が必要であることを発見しました。
「私たちには、これらの著者をサポートできる研究、指導、実践コミュニティが必要です。なぜなら、彼らはコンピュータセキュリティの発見を現実世界のアプリケーションのための実践的な推奨事項に変換する上で重要な役割を果たすからです」とリーブス氏は述べた。 「また、コンピューターセキュリティインシデントが発生したときに、従業員が従うべき千のセキュリティルールの1つでも従わなかったという理由で従業員を責めるべきではないことも強調したい。私たちは、理解しやすく実装しやすいガイドラインの策定をより適切に行う必要がある。」