某学会に参加したときに知った概念でインセンティブ・セキュリティというものがあります。意外と知られていないので、少し考えをまとめたので記載をしてみたいと思います。
インセンティブとは?
そもそもインセンティブとは、何でしょうか。簡単に言えば、ある行動を引き起こすために動機付けのことです。『ヤバい経済学』によれば、経済学とはインセンティブの学問であり、経済学者は「インセンティブを考えたり導入したり、研究したりいじくり回したり、そういうことを喜んでする」人らしいです。この本では、インセンティブを以下の3種類に分類しています。
- 金銭的インセンティブ
- 社会的インセンティブ
- 道徳的インセンティブ
- 作者: スティーヴン・D・レヴィット/スティーヴン・J・ダブナー,望月衛
- 出版社/メーカー: 東洋経済新報社
- 発売日: 2007/04/27
- メディア: 単行本
- 購入: 34人 クリック: 437回
- この商品を含むブログ (246件) を見る
インセンティブ・セキュリティとは?
インセンティブ・セキュリティとは、インセンティブを利用してセキュリティの向上を図ろうとする仕組みで、主にパスワード強化など、Human Awarenessの向上などに活用されていると思います。
一番わかりやすい事例は、LINEが以前やっていた取り組みだと思います。この取り組みがどこまで効果をもたらしたのか知らないですが、めんどくさいとユーザが感じてしまうパスワード施策などを推進するためにはよい方法だと思っています。
ほかにも、セキュリティ・プログラムの継続にインセンティブを導入すべきと述べている人もいるみたいです。(座学はもう古い、セキュリティトレーニングの重要性(下) - 座学はもう古い、セキュリティトレーニングの重要...:CIO Magazine)
以前、講演で「インシデントを報告する文化」の重要性について触れたことがありますが、ミスを報告しやすくするためにも、インセンティブを与える仕組みを正しく設計する必要があると感じています。特に、インシデント報告については精神論や規範的議論になりやすいですが、きちんと報告をすることが賞賛される文化(安全文化)をつくるとともに、インセンティブを正しく設計するべきだと考えています。
まとめ
今回は、インセンティブ・セキュリティについて触れてました。セキュリティ専門家やマニアでない限り、セキュリティとはめんどくさいものですし、わかっていても後回しにしてしまいます。そのため、セキュリティ対策を行うマイナスの要素をインセンティブをうまく設計することによりプラスの要素に変換できれば、より対策も進むのではないかと考えています。