2024年10月25日 12時00分 サイバーセキュリティ最大の脆弱性は「人間」、ヒューマンエラーを防ぐ3つの戦略とは？ 悪質なハッカーが狙っているのはPCやシステムの脆弱(ぜいじゃく)性に限らず、人間の心の隙や人為的ミスに付け込んだソーシャル・エンジニアリングなどもセキュリティの重大な脅威となっており、ある調査ではデータ侵害の原因の68％はヒューマンエラーだったことが判明しています。人間の存在がサイバーセキュリティ最大の弱点となっている問題に対処する方法について、認証技術の専門家が解説しました。 Human error is the weakest link in the cyber security chain. Here are 3 ways to fix it https://theconversation.com/human-error-is-the-weakest-link-in-the-cyber-security-chain-here-are-3-ways-to-fix-it-241459 ◆ヒューマンエラーの本質を知る オーストラリア・メルボルン大学コンピューティングおよび情報システム学部の上級研究員であるJongkil Jay Jeong氏によると、サイバーセキュリティの分野では、ヒューマンエラーは大きく2つに分けられるとのこと。 1つ目は「スキルベースのエラー」で、これは日常的な作業中、特に注意力が散漫になっているときに好発します。 例えば、ある人が職場のPCのバックアップを忘れたとします。その人は、バックアップの方法もバックアップの必要性も知っていましたが、早く帰宅しなければならない用事や、山積みになっている返信待ちメールなどでバックアップにまで気が回りませんでした。 もし、このタイミングでサイバー攻撃が発生すると、データを復旧する手段がありません。そのため、ランサムウェアなどでデータが人質に取られてしまうと、ハッカーにゆすられてしまうことになります。これがスキルベースのエラーです。 2つ目は「知識ベースのエラー」で、これは経験が浅くて重要な知識が不足している場合や、特定のルールに従わなかった場合に発生するサイバーセキュリティ上のミスです。 例えば、見知らぬ連絡先から届いたメールを不用心にクリックしてしまうと、そこからマルウェアがシステムに侵入してハッキングされ、金銭を奪われたりデータをかすめ取られたりするリスクとなります。これが、知識ベースのエラーです。 ◆なぜ従来のアプローチでは不十分なのか？ こうしたヒューマンエラーを防ぐため、政府やさまざまな団体がセキュリティ教育に多額の投資を行ってきましたが、必ずしも効果的とは言えませんでした。その理由のひとつは、「テクノロジー中心の画一的なアプローチをとっていたため」だと、Jeong氏は指摘しています。 従来の教育プログラムの多くは、パスワード管理の改善や多要素認証などの技術的側面に依存していることがよくありました。そのため、人間の心理や行動原理に根ざした問題の改善は軽視されがちだったとのこと。 テクノロジーに頼らず、行動を変えることで大きな成果を挙げた事例として、Jeong氏はオーストラリアとニュージーランドで展開された日焼け防止キャンペーンの「Slip, Slop, Slap運動」を挙げています。長袖のシャツやラッシュガードを着る(Slip)、日焼け止めを塗る(Slop)、帽子をかぶる(Slap)の3つを呼びかけたこのシンプルなキャンペーンが始まってからの40年で、両国における悪性黒色腫(メラノーマ)の発生は大幅に減少しました。 Jeong氏は「『人間の行動を変えるには、意識を高めるための継続的な投資が必要』だという原則は、サイバーセキュリティ教育にも当てはまります。人々がベストプラクティスを知っているからといって、それが実行されるとは限りません。特に、優先事項や時間的なプレッシャーに負われている場合はなおさらです」と述べました。 また、オーストラリア政府は2024年10月に、企業と政府機関の情報共有を強化したり、スマートデバイスのセキュリティ基準を定めたりすることを盛り込んだ包括的なサイバーセキュリティ法案を発表していますが、これも技術的側面と手順的側面に焦点が当てられています。 一方、アメリカは人間中心のアプローチに目を向けており、2023年12月に国家科学技術会議(NSTC)が打ち出した(PDFファイル)連邦サイバーセキュリティ研究開発戦略計画には「情報技術システムの設計、運用、セキュリティを決定する上では、人々のニーズ、動機、行動、能力を最優先とした人間中心のアプローチをより重視する必要があります」と記されています。 ◆人間中心のサイバーセキュリティの3つのルール 人間中心のアプローチを採用して、サイバーセキュリティにおけるヒューマンエラーの問題に対処するにはどうすればいいのかについて、Jeong氏は最新の知見に基づいた以下の3つの戦略を提唱しました。 1．認知負荷を最小限に抑えること サイバーセキュリティは、できるだけ直感的かつ簡単に実践できるよう設計する必要があります。またトレーニングプログラムは、複雑な概念を簡素化してセキュリティの実践を日常のワークフローにシー��レスに組み込めるようにすることに重点を置くべきとのことです。 2．サイバーセキュリティに対する前向きな姿勢を育てること セキュリティ教育では、恐怖戦術ではなく、優れたサイバーセキュリティの慣行を実践することの肯定的な成果を強調する必要があります。そうすることで、サイバーセキュリティに関する行動を見直すモチベーションが生まれます。 3．長期的な視点を取り入れること 行動や態度を変えるのに必要なのは、単発のイベントではなく継続的なプロセスです。というのも、サイバーセキュリティ教育は継続的に行う必要があり、進化する脅威に対抗するためには定期的なアップデートが欠かせないからです。 Jeong氏は「要するに、真にセキュアなデジタル環境の構築には、総合的なアプローチが必要だということです。ロバストな、つまり強固なテクノロジーや健全なポリシーも大切ですが、最も重要なのは十分な教育を受けたセキュリティ意識の高い人材の確保です。ヒューマンエラーが起きる背景を深く理解できれば、人間の性質に合わせて機能する、より効果的なトレーニングプログラムやセキュリティ計画を設計できるでしょう」と述べました。

サイバーセキュリティ最大の脆弱性は「人間」、ヒューマンエラーを防ぐ3つの戦略とは？ - GIGAZINE

[個案分享]【肩關節盂唇撕裂(SLAP)初期穩定性訓練】鄒欣儒運動傷害防護員

所有反覆過頭揮臂動作的運動：棒球、排球、羽球、美式足球等等...。一旦訓練過��，又或是動作模式(動力鍊)不佳，則容易造成肩關節結構上一定程度的傷害，若無積極介入處理，久而久之可能演化為慢性發炎，導致疼痛循環，讓關節周圍的肌群失去應有的功能。

這名個案是大學排球運動員，因右肩關節前側疼痛而來，爾後經醫師診斷為盂肱關節(狹義肩關節)鬆弛與輕微的肩盂唇撕裂(SLAP)，建議增加肩關節穩定性與胸椎活動度。

這個影片的動作是Shoulder stability exercise - Isometric hold，影片當下已經是第三、四組，可以看到個案的上肢與肩胛骨軀幹的連結重新”活”起來了。在這之前，個案的廣義肩關節(包含：肱骨、鎖骨、肩峰與肩胛骨)的每一部分，幾乎是分開、沒有連動的。

試想今天當我們手臂要往上舉過頭，若背後的小翅膀-肩胛骨，與鎖骨沒有做出相對應的律動時，過頭動作所有需要完成的活動程度都由肩膀的盂肱關節獨立完成，壓力便因此形成。好的關節律動來自肌肉功能正常發揮，至於如何活化整組肩關節的穩定肌群回到軌道上做事，方法因個案狀況而異。

以這位個案為例，初次評估後發現胸肌群與闊背遠端(側線)緊繃，因此明顯限制了肩關節活動，我便開始徒手處理異常張力，與搭配PNF誘發個案肩胛骨周圍的肌群“會用力”，讓肩胛骨們可以乖乖回到背上，再以等長收縮的方式，即影片的動作，更進一步刺激核心與上肢的連結，降低肩關節受傷處所承受的壓力。

值得注意的是，一提到肩關節，或許大家馬上會想到肩旋轉肌群內外轉的訓練。不過由於這名個案一開始做內外轉動作時尚有疼痛感，便需退回一階，先從穩定性著手。等張肌力訓練需要建立在良好的穩定性上，復健過程與訓練動作執行都以不痛為最大原則。初期活動度的處理，則以被動手法與伸展技巧為主，我們���適的徒手介入讓個案在肌筋膜表面張力、身體姿勢舒適的狀況下，對於穩定性的訓練也是很有幫助的。

康科特運動醫學中心

板橋館 新北市板橋區四川路一段150號2樓 (02)2951-2231

永和館 新北市永和區中和路581號4樓 (02)32337525

＊本中心採完全預約制以提供最佳治療與訓練品質＊

＊歡迎來電諮詢預約＊