※本ブログおよび掲載記事は、Google、Amazon、楽天市場のアフィリエイト広告を利用しています。

大晦日の記事でサイバーセキュリティの経済学という研究分野についてざっくり書いた。そこにはサイバーセキュリティを守ることは技術で解決できない問題で、使う側、人の問題だということになっていることが分かった。

mnoguti.hatenablog.com

そしてGoogleで検索してみると、サイバーセキュリティに関する研究論文が日本語ではほとんどないようだということ、英語ではそれなりにありそうだという印象だ。日本語のサイトをみると、行動経済学の研究対象、だから経済学や心理学の研究対象になるというようなことが書かれていた印象。

そこでもう少しサイバーセキュリティの経済学についてもう少し調べてみることにした。まずはYouTubeに以下の動画があったのでここから勉強してみることにする。

www.youtube.com

下に紹介してあるが、情報セキュリティの敗北史を読むのがいいみたいだ*1。さて、この動画では、まず歴史から入る。サイバーセキュリティはざっくりインターネット以降本格化したと考えていいようだ（コンピュータの出現以来と考えるともっと遡る）。この本を紹介しつつ、サイバーセキュリティを守ることの難しさ、不可能さを解説している。

最初に本格的に調査し分析したのは、米国防総省から委託を受けたWareさんが出したレポート・・・Security Controls for Computer Systems: Report of Defense Science Board Task Force on Computer Security。それとPROSの事例の紹介。コンピュータシステムの脆弱性をなくすのは原理的に無理なのではなく、膨大すぎて難しいという話。結論は、（危険である可能性は証明されなかったので）安全である可能性があるというレベル。防御側は攻撃側にもなる。

なぜか鬼滅の刃を例え話で多用しているので、鬼滅の刃の読者は分かりやすいかもしれない（1回目だけ）。

www.youtube.com

MicroSoftなどはOSの穴など技術的な解決を目指し、ある程度は（アルゴリズム等で）解決したが、それでも問題は残った。それが第2回のテーマである「セキュリティは人間的課題」であるということを指摘する。例えば、悪者（迷惑メール）を弾くのだが、悪者と思ってそうでない情報（大切なメール）を弾いてしまう。逆に問題のある情報・サイトでも気づかずに、あるいは無視をして、あるいは感覚が麻痺して使い続けるという人間の課題。安易な経験が危機感を麻痺させる。自分の都合のいいように考えてしまう。イタチごっこに陥る。

セキュリティの解決はコンピュータ科学では無理。人間の行動を研究する必要がある。それが（行動）経済学であるという整理。2000年ごろから経済学、心理学が応用され始める。セキュリティ経済学という視点。

www.youtube.com

PEBCAKの問題・・・Problem Exist Between Chair And Keyboard・・・つまり人間が問題。 人間を対象にして分析する必要がある・・・2000年ごろ誕生した。モバイルやインターネットがかなり普及した2000年ごろにいろいろなことが起こっている。セキュリティ経済学はそのうちの一つ。会議場からレストランへの移動のバスの中の議論から始まった*2。「なぜ人はウィルスソフトを入れないか？」ということ。キーワードはコモンズ（共有地）の悲劇・・・これが人がウィルスソフトを入れない理由。

インターネットがコモンズ。ウィルスに感染した時、自分のパソコンの問題（データの消失等）ではなく、他者へ迷惑メールを出す、DOS攻撃の発信地になる事例が出てくるようになった。ウィルスに感染した時、被害を受けるのは自分以外・・・インターネットの品質が落ちる。十分合理的なプレイヤーが十分合理的な選択をした結果、安全じゃないことを選択している。共有地の悲劇の問題であることに気づく。

セキュリティ研究は、外部不経済の内部化の問題・・・人間の意思決定、インセンティブ構造を理解する必要がある。これまでの知見を活かせばいい。合理的人間が選択する不合理な結果・・・行動経済学のこれまでの知見がいろいろ使えるようだ（リスク・ホメオタシスとか）。

セキュリティ技術はアップデートされても、ユーザはアップデートされない・・・なるほど。

セキュリティの経済学については入門書がまだないと指摘されている。そういえば、学会でもあまり盛り上がってない？どうなんだろうか。

次は情報セキュリティの敗北史を読んでみるか・・・。