米国企業全体では、コンピューター・セキュリティ対策に毎年1000億ドル近い費用をかけているが、ランサムウェアで病院システムが一時的にダウンしたり、個人データがオンライン流出したりするのは今でも日常的に起きている。ブリガムヤング大学(ユタ州)のアンソニー・バンス准教授は、人の脳に注目すれば、もっと効果的にコンピューターのセキュリティ対策ができるかもしれない、と考えている。
「セキュリティの専門家は攻撃側だけでなく、ユーザーの神経生物学にも関心を持つべきです」とバンス准教授は、カリフォルニア州オークランドで今週開催されたエニグマセキュリティ会議で語った。バンスの研究室では、fMRI(MRIで脳などの血流を調べ、機能を可視化すること)でスキャンした脳画像から、セキュリティ警告を認識したり、あるいは無視したりする無意識のメカニズムについて明らかにしようとしている。
バンス教授は、別の研究でグーグルと提携し、すぐに無視されないセキュリティ警告を、グーグルのWebブラウザー「クロム(Chrome)」に表示させる新手法を研究した。バンス准教授がグーグルのエンジニアから聞いた話では、次のバージョンのクロムに、無視されにくい仕掛けが追加される計画だ。ただしグーグルは、クロムにいつこの機能を追加するかの確認依頼に応答しなかった。
フロリダ大学のダニエラ・オリベラ准教授は、バンス准教授の研究により、セキュリティツールや通知機能の有用性を改善する新手法がわかるという。多くの研究者が、IT業界から見過ごされがちだと指摘する分野だ。一般的なマルウェア感染から、メール内容を公開されてしまった米民主党全国委員会のジョン・ポデスタ元大統領首席補佐官のような著名人の情報漏洩にいたるまで、警告メッセージや見慣れないメールに対する軽はずみな判断が原因で事故が起きている。
軽はずみな判断を下す原因は、複数の作業を一度にしようとするせいだといえる。バンス准教授とグーグルが共同で研究することになったのは、何らかの作業中にセキュリティ警告を目にした場合、正しくメッセージを理解できる確率は通常の3分の1以下になると判明した研究がきっかけだ。
バンス助教授の研究室がグーグルと共同で実施したクロムの実験では、ユーザーが別の作業に集中していない場合に限って、コンピューターがマルウェアやアドウェアに感染している可能性を警告するように調整されたバージョンを使った。たとえば、ユーザーが映像を見終えたり、ファイルのダウンロードやアップロードを終えたりするまで待ち、警告メッセージを表示するのだ。
実験では、作業を中断させにくいバージョンのクロムを使った場合、警告を無視する確率はわずか3分の1だったのに対し、通常版のクロムは80%だった。
バンス准教授の別の研究では、ユーザーがあっという間にセキュリティ警告に慣れてしまうこともわかった。脳がメッセージに反応する確率は、2回目の表示ですら大きく低下するとわかったのだ。
バンス准教授は、被験者にギョッとするような許可(たとえば「写真が削除される可能性があります」など)を求めるモバイル・アプリをダウンロードするよう依頼して、追加実験も実施した。この実験により、ソフトウェアデザインの通常のルールを破ったり、表示ごとにセキュリティ関係のメッセージの見た目を変えたり(たとえば、違う色を使うなど)することで、慣れ効果を減少できた。
「実験結果から、神経科学で人々の行動を理解し、新たなUIデザインが有効かどうか確かめられる可能性があるとわかりました」とバンス准教授はいう。「私たちのセキュリティUIは、脳が働く仕組みに適合するようにデザインされるべきです」