ITmedia NEWS > 科学・テクノロジー >
セキュリティ・ホットトピックス

セキュリティ意識を高めるには“恐怖心”が重要? 在宅勤務で情報漏えいさせない効果的な方法を研究Innovative Tech

» 2023年01月20日 08時00分 公開
[山下裕毅ITmedia]

Innovative Tech:

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

 米ノース・テキサス大学、米ワシントン州立大学、米オクラホマ州立大学に所属する研究者らが発表した論文「The valued coexistence of protection motivation and stewardship in information security behaviors」は、リモートワーカーに雇用主の情報技術セキュリティを守らせるために効果的な方法は何かを調査した研究報告である。

論文のアブストラクト

 この研究では、リモートワーカー向けに、ITセキュリティを順守させる方法を模索するための2つのアプローチについて検討する。その2つとは、「防護動機理論」(protection motivation theory、PMT)と「スチュワードシップ理論」に基づく戦略的アプローチである。

 防護動機理論とは、特定の話題について相手を説得する際に、脅威の危険性を強調して脅すことによりその脅威へ対処を促進させる説得コミュニケーションである。「どれほどの脅威なのか」「対処しなければどれくらいの確立で脅威が起こるのか」「対処したらどれほどの効果があるのか」などを説明する。

 スチュワードシップ理論とは、従業員が達成感や満足感、敬意、倫理観などを動機に所属する団体のために与えられた職責を全うするという行動心理である。スタートアップなどの少人数の団体において、この理論が当てはまりやすい。

 分析に当たっては、ITセキュリティ・ポリシーを導入している企業に勤務する339人を対象に、3つのシナリオに基づいたアンケートに回答してもらった。シナリオとは、「未許可のストレージデバイスの使用」「機密アカウントを使用していないときのログオフ」「パスワードの他者への共有の自粛」の3つで、リモートワークの状況に関連する一般的なポリシー違反について記述したものである。

 回答者は3つのシナリオのうち1つをランダムに読み、防護動機理論とスチュワードシップ理論のさまざまな要素に基づいて、ある行動をとる可能性を答えた。

 結果、防護動機理論で強調されている恐怖や脅威を利用したアプローチの方が、スチュワードシップ理論に基づいたアプローチよりも、従業員のセキュリティポリシー違反の防止にはるかに効果的であることを示した。

 この結果は、リモートワーカーに情報技術セキュリティを守らせるためには、“恐怖心”が最大の動機になることを示すものである。このことから研究者らは、リモートワーカーに脅威が何であるか、それがどれほど深刻であるかを明確に伝えることが重要であると提案している。

 さらに、防護動機理論とスチュワードシップ理論の視点を組み合わせることで、より効果的な成果が得られることが分かった。スチュワードシップ理論の概念で、良い行動をとれば従業員と雇用者の双方に利益があることを強調する「集団主義」の意識を促進することが、防護動機理論に基づく方法の効果を高めるというわけだ。

 その一方で、ITセキュリティに対する過度な防護動機理論アプローチが裏目に出て、セキュリティ上の不始末を招くケースがあることも示された。裏目に出るケースとして、監視行為が挙げられる。研究者らは監視行為の除去を提案している。

Source and Image Credits: Obi Ogbanufe, Robert E. Crossler, David Biros. The valued coexistence of protection motivation and stewardship in information security behaviors



Copyright © ITmedia, Inc. All Rights Reserved.