[サイバーセキュリティシートベルト:認識から備えへの移行に関するサイバー心理学者の見解]

[ラグー・ナンダクマラ 00:11]

[皆さん、セグメントの別のエピソードへようこそ。本日、受賞歴のある教育者、起業家、講演者、サイバーセキュリティ研究者が参加できることを大変光栄に思います。エリック・ハフマン博士、ザ・セグメントへようこそ！]

[エリック・ハフマン博士 00:28]

[ねえ。呼んでくれてありがとう感謝しています。]

[ラグー・ナンダクマラ 0030]

[だから、私はあなたの素晴らしい経歴を正当化することはできないでしょう。私が言いたいのは、サイバー心理学者と会話したのはこれが初めてだということだけです。それが何なのか興味をそそられます。あなたのÝóúT~úbéの動画をいくつか見たので、ちょっとしたアイデアが浮かびました。では、ハフマン博士、あなたの経歴を少し教えていただけませんか？]

[エリック・ハフマン博士 00:52]

[ええ、最初から最初から始めるのか、それともサイバー心理学から始めるのか、面白いことですか？]

[ラグー・ナンダクマラ 00:59]

[分かるだろ？最初から始めることが重要だと思います。なぜなら、それがあなたがどのようにしてサイバー心理学にたどり着いたのかを理解する方法だからです。]

[エリック・ハフマン博士 01:05]

[簡単に言うと、コンピューターサイエンスの学士号を取得し、ウォルグリーンで働き始めた後のことです。店舗から店舗への移動、プリンターの修理、ネットワークの修理、コンピューターの修理など、さまざまなことを行いました。楽しんだ！私がコンピューターサイエンスを始めた理由は、正直に言うと、父のおかげです。私が育った頃は、もちろん大勢の人と同じように、人があまり持っていなかったので、父が学校に行くのを見かけました。父は本当にこれらのコンピューターを深く掘り下げていました。それから私たちの人生が変わるのを見ました。私たちが本当に小さなアパート、小さな家、大きな家へと変わるのを見ました。それで、「ねえ、これはかなりかっこいい」と思って、同じ道をたどることにしました。それでコンピューターサイエンスの学士号を取得し、ウォルグリーンズで働き始めました。その後、ÍT管理を専攻して経営学の修士号を取得しました。それで、プロジェクト管理という仕事を始めました。私も他のみんなと同じような考え方でした。馬鹿な人だけがハッキングされるみたいなたとえば、ユーザー名が ád~míñ、パスワードが á~dmíñ~ の場合は、それだけの価値があります。ほら、そういうこと、とても傲慢だ。ねえ、全部封鎖するよ何も悪いことはない。それは起こりそうです。そして、私の頭の中でデータ侵害が発生しました。そして、その3か月後、頭の中で別のデータ侵害が発生しました。ちょっと興味があったんだけど、馬鹿な人だけがハッキングされたら、私はバカなの？ほら、自己反省みたいな感じだね、そういうこと？あれは？私はバカなの？そこで、導入したテクノロジーがどのように役立ったかがわかったので、私たちが行ったすべてのことについてデータを調べ始めました。私はそれを知っている。ファイアウォール、ÍDS システム、Í~PS システム、私たちが捨てたすべてのもの、私たちがこの問題に投げかけたすべてのテクノロジーのように。それが役に立ったことは知っていますが、なぜ結果が表示されないのですか？そこで調査を始め、次にテクノロジーの発生率とデータbr~éách~és えいの率を調べたところ、それらは互いにミラーリングするのが好きでした。テクノロジーを導入すればするほど、データ漏えいの問題は悪化したようなものです。それでも、心の中では、「わかっている、これが役に立つことはわかっている」と思っていました。そこで私は共通点に目を向け始めました。それは私たち、つまり人々です。人々の心理学、ソーシャルエンジニアリングの心理学に目を向け始めたので、まったく違うことが起こりました。そしてそこで、私たちはこのサイバー心理学の分野を見つける手助けをしました。そこで私が特にサイバー心理学について調べてみると、今ではさまざまな分野があります。その中には、素晴らしい研究をしている人がいます。私は特に、サイバーセキュリティにおけるデジタル・ソーシャル・エンジニアリングについて研究しています。ですから、サイバー心理学では、子供のメンタルヘルスやネットいじめなどを調べている人もいます。でも私は、特に、デジタル・ソーシャル・エンジニアリングやサイバー攻撃などを研究しています。それで、ウォルグリーンの店から店へと運転して教え始めました。私は教え始めて、いくつかの大学での教育、つまり高等教育が大好きでした。それから物語を語るうちに、それらの物語が存在した理由を見逃してしまいました。それで、「ねえ、教室から出なきゃ。サイバー関連の兄弟姉妹たちと一緒に塹壕に戻りましょう。」そして、それがきっかけで、業界で働きながらサイバー心理学の取り組みを続けるために、今では膨大な量の研究を行うことになりました。]

[ラグー・ナンダクマラ 04:45]

[それは驚くべきことです、そしてあなたは絶対に正しいです。前提は、ああ、不注意な人、馬鹿な人がハッキングされたり、危険にさらされたりするってことですよね？しかし、実際のところ、最も成熟したサイバーセキュリティプログラムを備えた、最も資金が豊富な組織の中には、依然として攻撃の犠牲になっている組織がありますよね？そして、あなたは2つのサイバー攻撃の真っ只中にいるようなものだとおっしゃいました。あの事件の最中、どう感じましたか？あの事件がそうであるように、あなたはそれらを発見したのです。あなたはその真っ只中にいます。気分はどう？]

[エリック・ハフマン博士 05:22]

[正直なところ、怖い感じで、どうやって、何を間違えたのか、みたいな感じです。落ち着かなくちゃ。他のみんなを落ち着かせなきゃ。なぜなら、すぐに、「誰が何をしたの？」みたいになるからそして、それはあなたが何か間違ったことをしたのではないかもしれません。たとえば、中小企業から中小企業まで、国家があなたを捕まえたいなら、ほとんどの場合、彼らはあなたをそのように捕まえるでしょう。そうすれば、あなたはすべてを正しく行っても間違いを犯すかもしれません。それで、その事件の間は、まるで「私たちは何を間違えたの？誰が何を逃したの？誰が何をしたの？」それがそうだった、そういう気持ちだったし、そこから成長しなきゃいけなかったんだ。ご存知のように、私は存在として、ジュニアレベルのシニアとして、ご存知のように、私は新しく、修士号を取得し、かなり長い間業界に携わっていましたが、自分の立場には不慣れでした。つまり、あなたはジュニアレベル、シニアレベルの人間です。たとえば、指導の仕方を理解しなければならず、それは誰のせいでもないかもしれないとか、起こったことに対する膝のガクした反応、そして誰が何をしたかということであり、それは有毒でした。そして、私が学んだ教訓は、ただ物事に集中し、何が起こったかに集中し、どうやって、どうすればそれが二度と起こらないようにできるかに焦点を合わせることでした。それで被害に遭ったんだ、「誰が何をしたの？」これは起こらないはずです。私たちは100％安全でした。実際、100% 安全というものは存在しません。だから、誰が何をしたか考えないでください。何が起こったのかを考えて、その後、アフターアクションで、または一部の人がそれをポストモーテムと呼んで、誰が何をしたかを把握してください。何が起こったのか、何か間違ったことをしたのか、それとも存在すら知らなかった脆弱性に陥っただけなのか？]

[毒物みたいな意味でとても強い言葉を使ったねその点では、そもそも問題がどのように現れたかを理解することよりも、個人やチームに責任を課し、責任を付けることが重要でした。あれが見えるかい？これらのインシデントが何年前のものかはわかりませんが、そのアプローチが現在組織で変化しており、その原因と原因のどちらに焦点が当てられていると思いますか？]

[いいえ。残念な答えは「いいえ」です。多くの場合、私が組織について相談したときでさえ、誰が何をしたのか、誰が何をしたのか、どのような過失があったのか、実際に何が起こったのかということに焦点が当てられていました。そして、私たちは一般市民として、社会として、これらの組織に対しても多くのことを行っています。そのため、ある大企業にデータ侵害が発生し、すぐに、データ侵害があったために明らかに何か間違ったことをしているようなものです。インターネットの汚水溜まりにモノがつながっている限り、100% のセキュリティは存在しないとわかっているので、サイバー専門家でさえ、「ねえ、こんなことをしていたら、こんなことは起こらなかったのに」というように、アームチェアのサイバーセキュリティエンジニアのように振る舞います。その接続が存在する限り、100% 安全というわけではありません。ですから、特にビジネスの観点からは、それはまだ変わっていないと思います。多くの場合、企業が世間の認識はビジネスに悪影響を及ぼしたり、株価が打撃を受けたりするだろうと考えている場合がよくあります。誰が何をしたかがすぐに伝わり、CÍSÓ~とかそういう感じで戻ってきます。そして、CÍSÓ~は、「明らかにあなたは自分の仕事を正しく行っていないし、その脆弱性が何だったのか誰も知らない」と言っています。ゼロデイだったかもしれません。ねえ、誰も知らなかったみたいで、ここは患者ゼロです。ええ、私たちはすべてを正しくやったのに、それでも間違っていました。そして、この業界に関して言えば、それは残念な現実です。そして、私は謙虚です。私はとても謙虚な人です。それが私のお母さん、おばあちゃん、父です。彼らは私をそうなるように育ててくれました。あのね、私はその被害者になったんだ。そして、みんなに正直に言って、「はい、その犠牲になりました」と言います。セキュリティリーダーとして連続してデータbréá~chés~ いが発生したとき、「誰が何をしたの？」と思いました。こんなことあってはいけないみたいなまあ、起こるべきではなかったが、実際に起こった。つまり、どんな脆弱性が存在していたかというようなものです。僕らみんなが何かを学べるかもしれないし、僕が何かを世に出して、みんなが何かを学ぶかもしれない。そして、ちょうどその時点で、「誰のせいにするの？」たとえば、ごめんなさい、テクノロジーに関するすべてや、悪用される可能性のあるすべてのテクノロジーについて知っているわけではありません。これは、従業員に対するリーダーへの現実的な期待ではありません。また、CÍSÓ~やサイバーセキュリティエンジニアなど、他の全員にとって現実的な期待であってはなりません。言うまでもなく、ねえ、すべてのデータ侵害は許されるべきです。いいえ、でもすぐには行けません。過失があった場合は、問題を解決した後にそれを把握してください。最初にすぐに過失を指摘しないでください。その後、問題を解決しましょう。問題を解決するのではなく、過失がある場合はそれを探してください。]

[ラグー・ナンダクマラ 1030]

[絶対に。これはとても重要なポイントだと思います。なぜなら、最初の反応がCÝÁエクササイズになるべきではないからです。正しい¿~最初に裏側を覆います。それはあってはいけませんよね？また、CÍSÓ~のストレス、そして「私の監視にセキュリティ侵害があったらどうなるか」という絶え間ない恐怖についてもおっしゃっていましたよね？特に、「まあ、聞かれるよ」みたいな感じだよね？セキュリティ・プログラムの資金は全部手に入れたのに、こんなことが起こった。CÍSÓ~の燃え尽き症候群についてよく耳にするので、これは重要な部分であるに違いありません。これが主な理由に違いありません。]

[エリック・ハフマン博士 11:13]

[ええ、それは絶対に私が最後にいたポジションです。私は組織の中で最高位のセキュリティ担当者でしたが、燃え尽き症候群への道です。あらゆる種類のセキュリティ脅威と、ビジネスがスピードアップしたいスピードについて常に心配しています。なぜなら、ビジネスのスピードを落とすわけにはいきません。これは完全に理解できることですが、ご存知のように、ビジネスのスピードは低下しないからです。しかし、ビジネスのスピードがどんどん速くなっていくにつれて、リスクも高まります。ビジネスの速度を落とさずにリスクのバランスを取ろうとしていますが、ある時点で、ビジネスに「ねえ、減速する必要があります」と伝える必要があります。そして、あなたは決して、その議論に勝つことは決してないでしょう。そして、セキュリティ侵害が起きることを未だに心配しているのはあなた自身だからです。なぜなら、成熟した組織が「ねえ、実は、これが原因で、おそらくあなたのせいではないでしょうが、それでもセキュリティへの投資を続ける必要がある」と言ってくれるような成熟した組織がない限り、その責任はあなたにあるかもしれないからです。しかし、これほどの成熟度は、多くの組織では見られません。データ漏えいがあったとしても、それは過失によるものではないかもしれないとCÍSÓ~に言っていないのは、まだ多くの役員会にはない成熟度です。CÍSÓ~のせいではないかもしれません。サイバーセキュリティエンジニアのせいでも、サイバーセキュリティエンジニアのせいでもなければ、セキュリティディレクターのせいでもありません。業界全体が一度に学んでいることかもしれませんし、ゼロデイが1日目、3日目にリリースされたためにすぐにパッチを適用できなかった場合もあります。それはたまたまやってくるし、たまたま思い浮かびます。特に企業環境では、そのようなことが存在します。私はCÍSÓ~の弁明者ではありませんが、これらのデータbréá~chés~ えいが発生する度合いがある程度まで精査されるレベルは、明らかに公平ではありません。あなたが中規模の組織で、国民国家が攻撃を仕掛けているなら、十分な資金を投資していないことになります。言っておくが、あなたはあのCÍSÓ~を守るのに十分な資金を投資していないということだ。そのCÍSÓ~はおそらく悪用されるでしょう。そして、彼らを責めるなら、他の誰かを雇うことができますが、同じことが彼らにも起こります。たとえば、実際には、リソースが不足している場合、必要な人を雇っても、その組織をこれから起こることから救うことはできません。そのため、セキュリティへの投資を続ける必要がありますが、100% 安全なセキュリティは存在しないことを理解し、このようなbréá~chés~ の中には、人間と同様に次のレベルの利益に過ぎないものもあることを理解する必要があります。そして、それらに対する準備が整っているかどうかにかかわらず、そしてすべてに備えてリスクを最小限に抑えたい場合は、その投資はかなり高額になるほうがよいでしょう。セキュリティエンジニアにチャンスを与えるには、かなり高くする必要があります。あなたの会社に50ドル、6,000ドル、1億ドルの価値があるものを1、2、3にして、何か悪いことが起こったら、それはみんなの責任だと言ってください。そのために十分な人はあまり知りませんし、そうでもありません。3人で24時間体制のSÓCみたいに報酬が払われてないんだろうな]

[ラグー・ナンダクマラ 14:27]

[そこにあなたが言ったことがある。取締役会がセキュリティプログラムの重要性を完全に理解しているだけではありませんよね？このような成熟度は、意思決定を担当する取締役会が、十分に開発され、適切に実行されたセキュリティプログラムの利点を明確に理解するようになったと思います。しかし、あなたが言っているのは、それ自体は良いことですが、実際には、取締役会は、セキュリティに投資するのと同じくらい、攻撃者が環境を危険にさらす可能性がまだ十分にあることを理解するための成熟度が必要だということです。そして、攻撃者は「ねえ、なんてこったい」と言って反応するべきではありません。そのような反応ではないはずです。「うん、わかった。確率は依然として彼らに有利に積み重なっていることがわかります。」]

[エリック・ハフマン博士 15:19]

[確かに、役員室での進捗やビジネスに関する会話のすべてが、進化したり、新しいリスクを生み出したりする可能性が高いとは言いませんが、常に言っているわけではありません。そして、そのリスクが何であるかにもよりますが、取締役会として、あるいはCÉÓ、最高執行責任者などとして、このような会話をしていると、それらのリスクが浮き彫りになることを理解する必要があります。そして、それを軽減するのか、それとも受け入れるのか、ということです。このようなセキュリティ関連の会話の中で、C~ÍSÓが不満を感じるケースは、リスクが受け入れられていることが原因です。そして、取締役会、最高経営責任者、最高経営責任者、最高財務責任者（C~FÓ）は、「ねえ、もしこれが起こったら、それは起こるリスクを受け入れたから起こった」ことを理解すべきです。そして、それが起こるリスクを受け入れ、それが起こるのであれば、それは一種のダメージコントロールに過ぎません。ご存知のように、リスクが存在し、その影響、つまりそのリスクが発生した場合の結果はそれほど深刻ではないと考えていたとしても。そして、それが起こったら、それほど深刻ではないことを確認してから、リスクを再検討しましょう。このリスクを引き続き受け入れますか？ほとんどの場合、答えは「いいえ、方向転換する必要があります。私たちは何か違うことをする必要があります。」なぜなら、そのリスクが発生する可能性がそれほどありそうだとは考えていなかったし、かなり起こりそうだと思っていたのに、たまたますぐに起こるようになったからです。また起こると思う？ええ、これは毎年恒例になるのでしょうか？四半期ごとのものですか？願わくば、毎週のようなものではありませんが、事後分析とそれに関する調査を行った後、5年に1回、そのリスクを受け入れ、CÍ~SÓにリスクの責任を負わせることになるかもしれません。このリスクは、「よし、こうなったら、悪化しないように守ってください」というように受け入れられました。「このリスクから私たちを守ってください。私たちはこれまで、いつまでも起こらないように受け入れてくれます」ではなく、あとはこのいまいましいことを軽減するだけでいいのです。申し訳ありませんが、必要なのは問題を軽減することだけです。]

[ラグー・ナンダクマラ 17:26]

[もちろん、あなたが最後に指摘したのは、あなたがこれについて非常に情熱的に話しているのを聞いて、リスクを受け入れるなら、基本的にデューデリジェンスを行ったことになり、「私のオッズは私に有利だと思う」と言ったからです。だからここに持っていきます。これ以上お金をかけるつもりはない」が、リスクがまだ残っていることを認識しておかなければならない。受け入れたからといって、それを消し去ったわけではありませんよね？したがって、そのリスクがまさに悪用されるものであれば、「まあ、私たちはこれに対して防御したと思った」とは言えません。受け入れたんだよね？実は、その時点までチーフ・エバンジェリストのジョン・キンダーヴォーグですが、彼は実際に「リスクは危険だ」と言っていますよね？リスクを受け入れるのではなく、可能な限り軽減するために最善を尽くさなければなりません。]

[エリック・ハフマン博士 18:20]

[まさに。つまり、セキュリティを熟知している取締役会は、セキュリティだけを理解しているわけではありません。確かにそうですが、セキュリティはリスク管理であることを理解しています。セキュリティ専門家は皆、リスクを伴う仕事です。テクノロジーを使用していようと、何かを実装していようと、私たちのコンプライアンスはまさに、リスク管理です。したがって、取締役会は、すべてリスク管理であることを理解しているか、事業開発チームが理解しているはずです。それで、「ねえ、これやるよ。このリスクを理解していますか？はい。」そうすれば、うまくいけば、リスク登録簿のようなものが入力され、自分が何を受け入れ、何を軽減しようとしているかがわかっているはずです。そして、セキュリティチームは、はい、責任を問われるべきです。あなたが軽減することを選択した取締役会上のリスクについては、責任を問われます。たとえば、「ねえ、これを軽減したと言ったけど、なんらかの理由でまだWíñd~óws X~Pを実行していることがわかりました。」ええ、ぜひ、どうぞ。しかし、このリスクが受け入れられて、そのリスクがそのように発生した場合、つまり、ちょっと、ダメージコントロールという意味です。ダメージコントロールを行い、二度と起こらないようにしてください。このような関係を持つ組織を率いている男女全員に拍手を送ってください。そうすれば、セキュリティチーム、つまりCÍS~Óは、何か悪いことが起こった場合など、取締役会が理解していることを理解しているので、それほど燃え尽き症候群に直面することはありません。この厳しい雇用市場に出るつもりはない。]

[ご存知のように、彼らは、ねえ、私たちには何かが起こる可能性があり、私たちは皆ダメージコントロールをしているだけですが、絶対に起こり得ないことも理解しています。たとえば、違反が発生し、それが絶対的な過失である場合、はい、あなたはそれに対して責任を問われ、それは公平です。それは公平な議論だ。道。ユーザー名はádmí~ñ、パスワードはádm~íñ、うん、悪い。悪いセキュリティチーム。絶対に悪いセキュリティチーム。あるいは、1 年前、または 3、2 四半期前にパッチが適用されているはずのパッチが適用されていないソフトウェアもありました。プロセスが壊れたら、セキュリティチームが責任を取るべきでしょう。しかし、それがソフトウェアになったり、これがビジネスニーズによるものだったりする場合は、これを実装しました。または、必要なチームがいないため、希望したほど迅速にパッチを適用できませんでした。そして、どのようなリスクが存在するのかを伝えたところ、あなたが「ねえ、パッチにはもっとお金を投資する必要があるので、少し遅れるかもしれない」と言ったら、何か悪いことが起こります。それなら、まあ、これを再検討する必要があるようなものです。このリスクは高すぎ、結果も大きすぎ、確率も高すぎます。そして、その会話こそがすべての企業のあるべき姿であり、企業にとっての夢なのです。]

[ラグー・ナンダクマラ 23:43]

[これは、一連の要点をまとめた素晴らしい要約であり、一方側のビジネスと自分側の何かをサポートするセキュリティ組織が、双方に最高の結果をもたらすために実際にどのように協力すべきかをまとめたものです。それで、ありがとう、ハフマン博士。ちょっと先に進みたい.あなたの専門分野で、私たちはこれを回避してきましたが、あなたはサイバー心理学者としての仕事のおかげでここにいます。サイバー心理学とは何かについて、本当に簡単な定義を教えてください。]

[エリック・ハフマン博士 24:14]

[サイバー心理学は、セキュリティ、サイバーセキュリティ、人間行動の心理学、神経科学における人間行動の社会学を組み合わせたものです。単純明快ですが、これら3つをまとめると、サイバー心理学になります。オッケー、]

[ラグー・ナンダクマラ 2430]

[なるほど、それはわかりますよね？では、なぜ今日それがそれほど重要なのでしょうか。]

[エリック・ハフマン博士 24:36]

[なぜなら、データbréá~chés~ えいの 90% 以上は、94～ 97% が人間の行動、つまり人間、つまり人的要素に関係していると思うからです。この会話の前から、私たちはおそらく問題の2～3％について話していることはわかっています。テクノロジーは重要ではないことは言うまでもなく、テクノロジーは非常に重要です。データbréá~chés~ の2〜3％について話しています。データbréá~chés~ いの残りの 95～ 97% は、人間の行動、ヒューマンエラーのようなもの、あるいは何らかの観点から見たソーシャルエンジニアリングに関係しています。私が調査を始めたとき、私は300人以上の自称ハッカーのグループを引っ張りました。白い帽子、黒い帽子、灰色の帽子など、何でも教えてくれませんでした。彼らの93％が、テクノロジーを始める前に人間から始めていると言っていると思います。ユーザー名とパスワードを教えてもらいたいからです。その時点ではハッキングすらしていません。これにより、脅威として、また脅威アクターとしての私の仕事がずっと楽になります。]

[ラグー・ナンダクマラ 25:40]

[ええ、絶対に。そして、最後のポイントはおそらく出発点だと思います。攻撃者は一生懸命働きたがらないということですよね？彼らは、成功への難しい道ではなく、簡単な成功への道を求めています。とにかく、ほとんどの場合、それは収益への簡単な道のりに関するものです。]

[エリック・ハフマン博士 25:57]

[うん、ああ、間違いない！パッチファイアウォールと直接対決するようなものですが、これは非常識な作業です。地球上でそれができる人は多くありません。つまり、完全にパッチが適用されたÍDSシステム、完全にパッチが適用されたファイアウォール、どのルーターに完全にパッチが適用されたか、侵入する可能性のある人のような話です。つまり、1% の 1% 程度です。それはとても、とても、とても難しいです。つまり、完全にパッチが適用されていれば、あなたを悪用できる人の数は本当に制限されます。しかし、私があなたに自分のデータ侵害に貢献させることができれば、ああ、それは愛です。]

[攻撃者は、テクノロジーが進化し、パッチが出てきているので、一生懸命働きたくありません。脆弱性は存在し、その後は消えますが、あなたはターゲットです。そのため、時間がかかるほど、難しくなる可能性があります。でも、あなたに話しかけてもらい、自分の欠点に貢献してもらうことができれば、私の仕事はずっと楽になります。そして、私が特権ユーザーになれば、あなたのシステムであなたになることができれば、より多くのデータを取得できます。これにより、私の仕事はずっと楽になります。そして、ほとんどのハッカーはそこから始めます。彼らはあなたから始め、私から始めて、「ねえ、マイクロソフト、アップル、シスコ、パロアルトと直接対決させて」みたいになり、それを持っていないし、彼らはそれを望んでいません。彼らはそれをしたくありません。ほとんどの場合、ほとんどのハッカーはそうではありません。ほとんどのユーザーは、できるだけ早く、できるだけ簡単にデータを入手したいと思っています。]

[ラグー・ナンダクマラ 27:36]

[それこそまさに、誰もが知っていて愛用しているセキュリティ意識向上トレーニングの多くが、好奇心旺盛な人間の傾向にほとんど焦点を当てている理由ですよね？では、教育が盛んに行われているとしたら、アクセスしようとしているウェブサイトが信頼できるものであることをどうやって検証できるのでしょう？スーパーボウルのチケットをVÍPスイートで5ドルで提供しているのに、メール内のそのリンクをクリックしないようにするにはどうすればよいでしょうか。そのため、これらすべてにもかかわらず、引き続き右クリックします。私たちはまだ行くべきではないそのウェブサイトに行きますよね？その人が私たちの親友である場合でも、電話で詳細を伝えます.では、このような教育にもかかわらず、なぜまだ行われていないのでしょうか。どうして私達を止められるところまで来なかったの？]

[エリック・ハフマン博士 2830]

[ええ、私の正直な意見では、私たちはサイバーセキュリティの認識に多くの時間を費やしたため、サイバーセキュリティへの備えを検討したことすらなかったと思います。私たちは人々に問題を認識させるために一生懸命努力してきたので、存在する問題に備えて人々を準備することができていません。この時点で言っておきますが、ほとんどの人が意識しているようなものなので、意識を教えるべきではありません。準備に向けて動き始める必要があります。デジタルソーシャルエンジニアリングでは、フィッシングは悪意のあるマーケティングに他なりません。そして、すべての企業がマーケティングの仕組みを知っています。だからこそ、私たちはそれに数十億ドルを投資しています。マーケティング業務。そして、悪意のあるマーケティング、なぜそれがうまくいかないのでしょうか？人間を捕食しているからねそれはその人間の影響力の原則を食い物にしているのです。そして、私たちは皆、このような影響力の原則を持っているので、攻撃者がその人にどのようにアプローチするかによって決まります。あなたの影響力の原則は私の影響力の原則とは異なります。ですから、あなたがクリックするものは、私がクリックするものとは異なります。そして、人として攻撃されるだろうという会話に備えて人々を準備することすら始まっていません。私たちは人々に技術的な脅威を認識させました。その上、これらの技術的な脅威は非常に難しいように思えます。テクノロジーに興味がない人にとっては非常に難しいように思えます。電子メールのヘッダーを確認するのも簡単ではないように思えますが、バックドアなどについて話し始めます。しかし、もし我々が問題を分解して、「彼らがやろうとしているのは人としてあなたを騙すことだ」と言ったら。そして、あなたがセキュリティ問題で私たちを助けてくれるためには、だまされないようにする必要があります。彼らがやろうとしているのは、あなたの好みによる主な影響力を利用することです。影響力、互恵、好奇心の原則に基づいてプレイしてください。そうなると、普通の従業員、金融関係者、マーケティング担当者などの人にとっては、「ああ、これは手に入るよ」のように聞こえます。これならできる。私はそうでもなく、技術的な専門家でもありませんが、この種の攻撃から身を守ることはできます。」次に、準備に傾き始めます。私たちが問題に備え始めるのは、気づくのは時間の無駄ではないと思うからです。まだまだ続けていくべきだと思いますが、その一歩先を行く必要があります。私たちはその一歩先を行き、存在する脅威の種類、具体的にどのようにターゲットにするのか、人としてどのような脆弱性があるのかを人々に備えさせ、本当にそれに傾倒する必要があります。今のように、仕事を見つけるのは非常に難しく、人々は仕事を失うことを恐れています。特にテクノロジーの分野では、今のように仕事を見つけるのが非常に難しく、人々は仕事を失うことを恐れています。テックレイオフはめちゃくちゃになりつつあります。フィッシングキャンペーンのレイオフに関するメッセージを送信すると、人々はクリックしてしまうことを保証します。それは彼らが愚かだからではありません。この人たちは自分の仕事が怖いということです。彼らはこれを心配している。そして、私たちが目にし始めたのは、これらのタイプの脅威の中で最も成功しているものです。ナイジェリアの王子の時代は終わりました。今でも人はそういうものを送りますが、意図的にその人をターゲットにすることになると、人々は怖がって、二度考えたくありません。CÉÓを助けたいと思っているのは、仕事を失うのが怖いからで、C~ÉÓを助けたいだけです。それは人間の脆弱性です。そして、誰もが持っています。これは、悪い人みたいで、いい人じゃない、現時点では非常に傷つきやすい。また、脆弱性を引用したり、引用を解除したり、パッチを適用したりするには、CÉ~Óからのメッセージが必要かもしれません。例えば、仮に解雇があったとしても、社員はCÉÓ~から話を聞く必要があり、正直な意見も聞く必要があります。会社の 20% ほどを解雇したばかりなら、残りの 80% は次のレイオフを恐れていると断言できます。では、そのフィッシングの脆弱性はどこにあるのでしょうか。そのデジタルソーシャルエンジニアリングの脆弱性はどこに結びついているのでしょうか？たぶんあなたの名前でしょう、ミスター、ミス、ミス・CÉÓ。なぜなら、あなたが他の誰かにメッセージを送るなら。私は彼らが生きることを保証します。彼らは話を聞いてくれるでしょうし、質問はしたくありません。なぜなら彼らは人間の本性である自分の仕事が怖いからです。]

[ラグー・ナンダクマラ 33:09]

[うん、うん。だから一つだけ君と意見が合わないと思うのは、ナイジェリアの王子がいなくなったとは思わないということだ。王子は今、ターゲットを絞ってパーソナライズしたメールを生成できる大規模な言語モデルで武装しているそうです。そうですね、実際に何か他のものとして見ると、それが本物でトリックだと思ってしまいます。しかし、私は脆弱性、人間の脆弱性、そして備えについてお話ししたいと思います。それで、あなたが言ったことは、私たちは本当に意識を高めるのが得意だということですよね？私も同感だよね？そして、それは単なる職場環境にとどまらず、今では幼稚園に近い頃の子供たちがサイバー意識について教育を受けているようなものになっていることがわかります。そして、それは本当に重要です。そして、準備に集中する必要があるとおっしゃいましたね。そこで皆さんに聞きたいのは、すべてが公平で美しいときですよね？私たちは非常に合理的で客観的な決定を下すことができます。しかし、ご存知のように、攻撃者、ハッカー、犯罪者が標的にしています。彼らは、最も脆弱なときにターゲットになるようにターゲットをプロファイリングしました。では、あなたが最も脆弱な状況にある状況に対して、国家のような準備態勢を整えるにはどうすればよいのでしょうか。また、自分自身を適切に保護できるような行動をとるにはどうすればよいでしょうか。]

[エリック・ハフマン博士 34:38]

[ええ、それは素晴らしい質問です。なぜなら、それが組織が取るべきステップだからです。その多くは内省に関するものですが、その多くは環境を理解することです。ですから、環境を理解することになると、たとえば今まで行ったことのない国に行く場合など、バックパックを持っていれば、そのバックパックの周りで何が起こっているのかをもっと意識するようになります。あなたが女性でも男性でも、バッグやハンドバッグを持っているなら、そのハンドバッグをもう少しきつく締めること間違いなしです。ただし、オンラインになっても周囲の物理的環境は変わりませんが、デジタル環境では、まったく人里離れた場所にいる可能性があります。あなたはどこか異国の奇妙な場所にいるかもしれませんが、周囲の物理的環境は変化しないため、人としての脳は、生物学的に見て、脅威を認識していません。脅威をまったく同じように見ているわけではありません。特に一部の組織、私が大いに賛同する多くの組織は、ご存知のように、自宅で仕事をしています。自宅で仕事をする方が、ずっと快適です。したがって、オンラインでの人としての最も脆弱な状態は、人として物理的に最も脆弱な状態とは異なります。快適に過ごせば、ハッキングされやすくなります。ただ、物理的な環境に慣れていれば、「ねえ、バックパックを持って行くよ、バックパックをどこかに置いておくかもしれない」と思う可能性が高くなるようなものです。そして、「ああ、すっかり忘れてしまった」という感じに戻ってください。しかし、外国にいるなら、おそらくそのバックパックを忘れていないでしょう。しかし、オンラインでもデジタルでも、快適であれば、「ねえ、これを確認させて。これを再確認させてください。」なぜなら、人間としては、デフォルトのように、書き言葉であれば、読み込むデフォルトの声は自分の声であり、自分の声で読んでいるからです。あなたはこれらすべてのメッセージ、これらすべてのコマンドを、フレンドリーで信頼できる声で受け取っています。なぜなら、ほとんどの人は、自分自身を信頼し、自分自身を好きだからです。愛する人や知り合いの名前を見ない限り、送った人の声で読むわけではありません。そうすれば、その人の声で読み始めます。攻撃者として、私は誰にでも言いたいことを言わせることができます。それが、私がヒューマンファクター認証と呼んでいるものだからです。名前が表示され、次にメッセージが表示され、そのメッセージを信頼できます。そういうことをチェックできなきゃいけないって知ってるでしょですから、私たちが気づきから備えへと進み始めると、その多くは環境を理解し、自己を理解することに向けられます。そして、自分が置かれている環境を理解していれば、少しずつ、より良い立場に立つことができます。そして、自分自身を理解し、どのように情報を受け取るか、そして人として抱えている脆弱性を理解していれば、あなたはより良い立場にいます。きっかけは、私が母親になりすました詐欺師からメッセージを受け取ったことです。それで、知ってるでしょ、母の声、南部の黒人女性と男性、頭の中で一番親しみやすい声を知っています。それで、私がその情報を受け取っているのを見ると、その情報を彼女の声で受け取っているのです。そして、それを「いや」と言うのは難しいです。ええと、そういう感じです。そして、ÁÍがそれを利用して、今それを狂ったようにひっくり返しています。]

[ラグー・ナンダクマラ 38:11]

[ええ、絶対に。実際、ハフマン博士がこの話を聞いたことがない人のために、彼のTÉDx~トークのビデオを見に行くことを強くお勧めします。最も素晴らしく、素晴らしい方法で語られています。ショーノートにリンクを貼ります。ですから、ある種の準備を考えているときや、ストレスや脆弱な時でも準備できることだと思いますよね？これらすべては開発が難しいものですが、強固なサイバー対策プログラムを構築するにはどうすればよいでしょうか。]

[エリック・ハフマン博士 38:49]

[ええ、そうしてください。本当にやるべきことは2つあります。脅威評価と対処評価を行う必要があります。そして、私はすべての人にこれを自分で行うことを奨励しています。ねえ、すべての組織が価値の高い目標を持つ組織でそれを行う必要があると言うのは言うまでもありません。あなたは彼らと一緒にこれを行うことができます。脅威評価と対処評価を行うことができます。脅威評価とは、特定の人物にはどのような脆弱性や脅威が存在し、その特定の人物にはどのようなリスクが存在するのでしょうか。そして、対処法は、これらのリスクがたまたま発生した場合、どのようなスキルで、どのように反応するかということです。脅威評価を行うと、「ねえ、この特定のリスクにどう対処すればいいの？」と言うだけです。この特定のインスタンスにはどのように対処すればよいですか？仕事だけでなく、存在している人や自分自身に対しても、現実的にどのような脅威が存在するのでしょうか？ですから、個人でやるなら、もっと現実的になることもできますし、自分にとって存在している脅威に対してもっと個人的なことをすることもできます。そして、それに基づいて対処法評価を行うことができます。ええ、そして対処法の評価は、その人がどのようなスキルを持っているか、あるいはそこに存在するこれらのリスクに対してよりよく備えるためにどのような支援システムが必要かということです。これら2つの評価を行うことで、ほとんどの組織よりも光年先を行くことができます。なぜなら、これらはトラウマに直面したときや治療を受けているときなど、人々がすべき心理的なことなので、ほとんどの心理学者は「ねえ、脅威評価をしなさい」と言うでしょう。対処法評価を行って、自分がどこにいるかを確認します。簡単な例として、簡単に説明します。そこで、脅威評価を行う場合、この問題の特定のリスクを軽減するためにできること、またはすべきことは何か、という疑問が浮かぶかもしれません。どんなリスクがあろうと、そこに空白のように挿入してください。この特定の脅威、またはそこに存在する特定のものについて、どのような経験がありますか？そして、私の頭から離れて聞けるもう一つの質問は、存在するこの特定のリスクへの対処をどのように回避するかということです。そこから、その人物と、その人が存在しているリスク、その人が組織内で働いているとき、その人が組織内で働いているとき、深く掘り下げたいのか、自分で行うのか、脅威評価を行うときに誰かに深い質問をしたいのかを包括的に理解できるようになります。自分が動揺していることをどうやって知るのでしょうか？そして、動揺しているとき、それを自分から隠しますか？もしそれが現実的だとしたら、「どうして私が怒っていると分かるの？」ほら、たいてい拳や手のひらを握り始めたり、汗をかいたりします。たとえば、私が動揺すると、個人的にはわかりやすい兆候がいくつかあるようなものです。自分や他人から隠していますか？ええ、うん、うん、みたいな。通常、私はそれをただ押さえておきますが、ストレスの多い時期にいる場合は、ストレスをあまり示しておらず、自分から隠している可能性が高いです。つまり、そのリスクを理解し、その人に存在する脅威を理解し、同じ脅威による評価への対処方法を知り、その脅威が発生したときに、その特定の状況をどのように捉えることができるでしょうか。そして、それを試用層思考と呼びます。それは、脅威とは何か、脅威に対して何ができるかということへと変わるのです。どのような可能性が考えられますか？他にこの脅威をどう捉えるか？その脅威は消えないみたいにこの脅威を他にどのように捉えられますか？そして、その人が職場で直面する可能性のある状況をより適切に評価して対処する方法についてのツールを提供します。そして、「この問題への対応をどのように変えることができるか」というようなものです。つまり、問題への対応を変えるということは、実際には行動を変えるためのツールを彼らに提供しているということです。ですから、サイバーセキュリティ啓発のようなことが起きていることを皆さんに知らせるよりも、私が皆さんに準備しているのです。皆さんのために存在しているものをお見せし、その時に備えるためのツールも提供しています。脅威をなくすことができない場合は、自分の見方を理解する必要があります。また、脅威に対する準備を整えるために、この脅威の状況をどのように変えることができるかを理解する必要があります。そのため、ターゲットを絞ったメールを受け取ったり、ターゲットを絞ったメッセージやターゲットを絞った電話を受け取ったり、特定の人からÁÍディープフェイクを受け取ったりする場合は、それらの存在を見たときに備えて、できることがたくさんあります。つまり、脅威が存在することを考えると、対処評価やそれに伴う脅威評価は、組織にとって絶対的なゲームチェンジャーとなります。脅威を選択するだけであれば、ランダムな脅威だけを選択しないでください。価値のある脅威を選びましょう。1人あたり1000の脅威があるようなものです。どんなことでも起こり得るように、価値のある脅威を選ぶことは誰もが知っています。価値のある脅威を選んだら、その人がその脅威について自分が認識している重大度を理解できるようにしてください。なぜなら、その人は重大度がわからない場合や、脅威が実際よりもはるかに深刻だと思っている場合があり、脅威が実際にゴルディロックスゾーンよりもはるかに深刻だと思う場合は、何かをクリックしたりソーシャルエンジニアリングの被害に遭ったりする人にとっては、脅威はそれほど深刻ではありません。CÉ~Óのように、彼らはおそらくあなたを解雇するつもりはないでしょう。自分の仕事を恐れてはいけませんが、認識されている脅威、その脅威の深刻さ、そしてサイバーセキュリティの専門家がいると認識されている脆弱性など、私たちは常にその犠牲になっています。私はテクノロジーを理解しているので、脆弱性が非常識だと認識するためにデジタルソーシャルエンジニアリングの犠牲になるつもりはありません。はい、そうなるでしょう、私はそう思います、はい、できます。それは技術的な問題ではないからです。それは人間の問題であり、それに伴って生じるメリットでもあります。そこから。じゃあ対処法は私が説明した全てだそして、対処法に追加すべきことが1つあります。あなたが構築しようとしているのは自己効力感を高めることです。なぜなら、私たちが見つけたのは、マイクロマネージメントを嫌う人々、自己監視している人々、おそらくあなたや私がマイクロマネージメントを嫌う人々だからです。私はとても自発的です。「見てる」みたいになる必要はない私たちは、他の人に頼っている人よりも、ソーシャルエンジニアリングの犠牲者の方がはるかに多いです。外にいるから、一人でいるから、自分の仕事をさせて、みたいな。私は元気だし、そのおかげで自分を頼りにしている。私はもっと孤立しています。そして、私はもっと孤立しているので、自分で決断を下さなければなりません。ソーシャルエンジニアリングとは、ソーシャルエンジニアや脅威アクターと一対一で取り組むことです。だからあなたはソーシャルエンジニアリングの試みの犠牲になる可能性が高くなります。私と同じように、そしてその対処法評価で。その後に得ようとしていたのは、知覚されたコントロールです。状況をコントロールできますか？そして、あなたがコントロールできると感じており、これらすべてを連携させ、脅威のコントロールをその人に任せれば、セキュリティチームを「ねえ、あなたは私が犯す可能性のあるあらゆる過ちから私を救ってくれる」と見なさなくなります。すべての間違いからあなたを救うことは絶対にできません。なぜなら、あなたが脅威アクターに加わり、彼らに王国の鍵を渡した場合、私があなたを救うためにできることは何もないからです。そして、その知覚されたコントロールは、今や状況を正確にコントロールしていると感じたのです。というのも、今のところ、セキュリティチームがユーザーとしてのコントロールを握っていると認識している場合、スパムフィルターが私を救うのでしょうか？ソーシャルエンジニアリングについて心配する必要がないなど、セキュリティツールはすべて揃っています。はい、そうです。あなたが状況をコントロールしていると認識しているのは、自分にはコントロールできないということだ。約束するが、あなたにはコントロールできる。すみません、それは長々とした答えでした。私はそれに情熱を注いでいます。]

[ラグー・ナンダクマラ 47:09]

[いいえ、大好きです。とても素晴らしい答えだと思います。そして、それは本当に重要だと思います。なぜなら、繰り返しますが、まとめたいと思いますよね？意識から備えへのシフトですね。気づくことは素晴らしいことですが、その意識に基づいて行動する準備ができていなければ、基本的には役に立ちません。そして、まとめてくれたら親切だと思うので、準備を整えるための道筋は。]

[エリック・ハフマン博士 47:35]

[ええ、まさに、意識することは、車で運転すると自動車事故が発生し、準備を整えることはシートベルトを着用することであり、運転するときは、ほとんどの人が事故に備えるべきだと思うからです。もちろん、何かあった場合に備えて、シートベルトを着用したいですよね。また、自動車業界からの備えは、ねえ、エアバッグとかそういうものがあるということです。この車は、万が一、何かが起きた場合でもより安全になるように設計されており、シートベルトを着用すれば、何かが起こった場合に備えることができます。それが実現することを願っていますが、そのための準備はできています。そして現在、セキュリティシートベルトはありません。サイバーセキュリティシートベルトはありません。私たちはたくさんのビデオを持っていて、何が起こり得るかについてたくさんの認識を持っています。そして、最近私たちが本質的に行ってきたことは、心理的に、準備すべきだったすべての人を怖がらせたことです。誰もが脅威を恐れていますが、ビジネスのスピードが落ちることはないので、そのための準備が必要です。「インターネットがなくなる」とは言えません。起こらないのは危険すぎる。現実的ではありません。ですから私たちは、皆さんが間違いなく住まなければならない環境、そして車と同じように操作しなければならない環境に備える必要があります。仕事に行くために他の手段、より安全な手段を試すこともできますが、ほとんどの場合、仕事を続けたい場合、適切な時間に機能させるために真夜中に自転車を漕ぎ始めたくない場合は、潜在的な自動車事故に備える必要があります。それが起こらないことを願っています。しかし、万が一、そのような脅威に直面した場合は、シートベルトを着用してください。そうすれば大丈夫です。ですから今度は、非常に装備の整った脅威アクターに直面することになった場合、特にÁÍとディープフェイクがすべての人のために登場している今、私たちはその問題に取り組み、誰もが直面する脅威の種類に対してよりよく備える必要があると言えるでしょう。また、コーディングのように手を組んだり、脅威アクターとコード間を行ったりして、それを失うようなことは含まれていません。しかし、準備ができれば、心理的に準備できれば、彼らがここまで来るのを防ぐことができます。あなたは彼らがあなたを人として搾取するのを防ぐことができます。なぜなら、今のところ、問題の90％はそうではないからです。人間は最も弱いリンクです。それは本当ではない。私は、人間として最も脆弱な立場にあると思います。最も脆弱なのは私たちだけです。私たちは最弱のリンクではありません。私たちは多くの脅威を自分たちでブロックしていますが、テクノロジーでは救えない独自の脆弱性が非常に多くあります。あれは]

[ラグー・ナンダクマラ 50:17]

[魅力的。シートベルトの例えが大好きです。実際、よろしければ、どのようなものか見ていきます。なぜなら、あなたが言ったように、シートベルトを着用する理由は、車にさまざまな安全機能が備わっている理由は、事故が発生した場合に、できるだけ安全にいてほしいと言っているからですよね？それで、ゼロトラスト戦略、ゼロトラストアプローチ、そしてこれまで話してきたように、攻撃は避けられないことだと思いますか？攻撃者は、そのシナリオですべての交通事故を消滅させることは決してできないように、成功する方法を見つけるでしょう。ゼロトラスト戦略を採用することは、そのような安全機能を車に搭載するようなものだと思いますか？これは、避けられないサイバー攻撃に対して組織を最善の準備を整えるためのものです。]

[エリック・ハフマン博士 51:10]

[私は間違いなくそう思います。つまり、あなたの組織が、これまで話してきたように、人々が物事を読んだり、オンラインで人や他の団体と交流したりするときに、ゼロトラストのような行動を構築しようとしている、つまり組織として、ゼロトラストインフラストラクチャを構築すれば、それが組織にとって最良のシナリオです。信頼ではなく検証です。検証です。ほら、「ねえ、信じて、でも検証して」と言い始めたからです。信頼できますが、それが真実であることを確認してください。まるで、いや、全然信用しないで。ほら、ただ確認して、すべてを検証してください。なぜなら、ありのままのところからゼロトラストだからです。製品ではありません。これは、組織全体が従わなければならない考え方または概念です。何かを買って、「ねえ、ゼロトラストになりました」と言うことはできません。さまざまな動作を実装する必要があります。ですから、技術的な観点からゼロトラストを行ってきたとしても、人々を見てゼロトラストになる力を与えていなければ、完全なゼロトラストではないと主張する人もいます。ですから、あなたが組織としての行動にそれほど権威があり、彼らがあなたに質問できないのなら、あなたは彼らに、あなたから来るものは何でも本質的に信頼するように言っていることになります。それはゼロトラストではありません。ですから、組織としてはゼロトラストでなければならないし、技術的な観点からは組織としてゼロトラストでなければならないとか、組織としてゼロトラストでなければならないとか、一方は他方で起こらなければならないと思います。]

[ラグー・ナンダクマラ 52:43]

[ええ、絶対に。それは的を射ていると思います。それで、そこから先に進みます。そして、この会話の過程で、私たちはあちこちにÁÍに足を踏み入れてきました。つまり、サイバー心理学の根本に立ち返るようなものです。というのも、これまでお話ししてきたすべてのことが原因です。それでは、ÁÍ~が現実であるという事実をさらに踏まえれば、そうですよね？私たちは日常的に、仕事でそれを使用していますよね？私たちの生活の中で。しかし、これを心理学の観点から考えると、それは本当に作品に大きな影響を与えます。なぜなら、今では、現実とフィクションを見分ける能力のように、それは非常に難しいですよね？ええ、難易度が大幅に上がっただけです。では、それがあなたの分野ではどのように役立つのでしょうか？]

[エリック・ハフマン博士 53:37]

[ああ、何年もの間取り組んできたことがたくさん必要で、それが粉々になりました。いいえ、冗談はさておき。非常に複雑になります。なぜなら、人間の場合は、自分の声を読んでいると言うと、まさにそれが起こるからです。例えば、映画を観て、本や本当に良い本を読んで、その映画を見て、ずっとがっかりするんです。みんなが間違って見えたり、みんな間違って聞こえたりして、その映画を作ったのはその本を書いた人の一人で、あなたは彼らに間違っていると言っています。なぜなら、作るとき、読むとき、頭の中でこのキャラクターを作り上げて、そして、あなたは彼らの声で読み始めて、それを当たり前のこととして受け入れます。人工知能に関しては、今や皆さんが行う精神的な仕事をすべて引き受けて捨てることができます。わたしが見てほしいものをあなたに見せることができるし、わたしが聞いてほしいことを、わたしが聞いてほしい方法で聞かせることもできる。以前は、ミームが脅威攻撃として送信されることはなかったのはそのためです。見たからってミームを送ってるんじゃないけど、生物学的防御が全部効いてきて、「いや、それは現実じゃない」って思う。でも今のÁÍとしては、好きの原則である「好き」を重ねることができます。魅力的な男性、女性、または誰かを紹介できます。そうすれば、その情報の一部を受け取る可能性が高くなります。御社の CÉ~Ó が、「彼らがしていること、私がしてほしいことをやるように」と声を出して伝えるビデオを見ることができれば、あなたはそれを受け取る可能性が高まります。私はあなたのようにディープフェイクポーズをして、それを他の誰かに送ることができます。そうすれば、彼らはそれを受け取る可能性が高くなります。誰かに目を向けると、見知らぬ人が危険にさらす生物学的防御が取り除かれ、それらのものが徐々に消えていきます。私たちが進化し続けるにつれて、ÁÍの目標は、人間がÁ~Íであることを検出できないようにすることだからです。そして、セキュリティの観点から見ると、私が言える範囲で十分に偽物である必要があるというようなものです。そして今、状況は少し良くなりすぎていて、見分けるのは難しいです。CFÓ~が他のCFÓに電話で言うのを聞いたので、ディープフェイクでC~FÓに送金してもらったようなものです。それはすでに起こっています。そして、ÁÍ~は今のところそれほど優れていません。まだ大使館にあります。しかし、それが本当に、本当に良くなると、曲を見たときに私たちが持っている生物学的防御は粉々になります。なぜなら、今では、読んだもの、触れたもの、見たもの、聞いたものを信頼できないからです。そこでは非常に怖くなるので、その時点でゼロトラストになっているほうがいいでしょう。]

[ラグー・ナンダクマラ 56:32]

[そして、その時点まで、準備のすべてが、突然振り出しに戻ったと思います。ええ、そうです、完全にリセットして最初からやり直さなければなりません。]

[エリック・ハフマン博士 56:44]

[それは間違いありません。なぜなら、脅威アクターは、私たちがこれまで構築してきたすべてのものが、脅威アクターが私たちに対してそれを使用する素晴らしい方法を見つけたからです。同様に、暗号化はセキュリティツールとして設計されており、情報の機密性を保つように設計されているため、セキュリティツールでもあります。脅威アクターがやったことは、それを利用してランサムウェアを作り、「ねえ、暗号化を使う、自分のデータを暗号化する、そして自分のデータを買い戻すようにする」と言ったことです。そして、ÁÍに関して言えば、まだいくつかのÁÍ~攻撃が発生し始めています。しかし、脅威アクターがÁÍと、それを人間の行動に対して活用する方法を理解し始めると、デジタルソーシャルエンジニアリングに関しては大きな意味を持つようになります。ねえ、この人に私が見てほしいものを見てもらい、聞かせたいものを聞かせることができます。どうやったらいいの？これを自分の個人的な利益のために活用するにはどうすればいいですか？なぜなら、組織はすでに、そこに存在するさまざまな広告やマーケティングキャンペーンによって、自分の個人的な利益のためにそれを活用しようとしているからです。脅威アクターは、それを私たちに対して利用し始めるでしょう。なぜなら、私は人々の影響力というこれらの原則を食い物にすることができ、あなたはズーム通話に参加したり、誰かとあらゆる種類のビデオ通話に参加して、ディープフェイクバージョンの誰かと話したりできるからです。そして、あなたはそれが現実だと感じ、ワクワクしますが、実際はそうではありません。それは、ねえ、それが何であれ、フェイクマーク、フェイクセールスコールなど、人々がそのようなことに直面するために準備する必要があるものは何でも偽物である可能性があるようなものです。たとえば、今では電話で話すことを信頼していると思う人と話しているだけで、「ねえ、答えは、電話を取ってその人に電話する」ということでした。それが答えなの？電話を取ってその人に電話します。ねえ、スーザン、これなの？「うん、本気か？」みたいなちょっと思うんだけど、ええ、電話してくれそれなら、「ああ、そうだね、電話したよ」みたいなつまり、世に出るということは、デジタル・ソーシャル・エンジニアリングの流れを本当に変えるようなものです。そして、今後5年間で成層圏に飛び込むことがすでに少し見えてきていると思います。]

[ラグー・ナンダクマラ 59:06]

[そのような非物理的なやり取り、たとえば電話でのやり取りでさえ、身元を検証するためにさまざまな方法を使用できる方法を見つけなければならないところまで来ていると思いますよね？私たちも同じことを言わなければなりません。「ねえ、私はハフマン博士です。検証できますか¿残りの会話を始める前に私があなたと話していることを確認できるように、顔やÍDなどであなたを「識別する」ことはできますか？ですから、今後数年間で、準備や意識への取り組み方全体が、ある程度大きく変わると思います。そして、つまり、あなたはまさにこの分野の最先端にいて、その準備がどのようなものになるかを作り上げることができる段階には、まだ初期段階にあるに違いないと思います。]

[エリック・ハフマン博士 59:58]

[そうそう、間違いない。私たちはそれを十分に検討していないと思います。私たちは気づきに多くの時間を費やしてきました。ほとんどの人は、心理的脅威について話し始めると、技術的なこと以外で準備を始めたところではないと思います。私はいくつかの組織と仕事をしたことがありますが、彼らは同じことを尋ねました。「ねえ、電話をかける前に自分の身元を確認してもらえますか？例えば、私たちは何をすべきか？」あるとしたら、ここは政府機関で、超秘密で超重要なものがあれば、コードフレーズ、牛が月を飛び越えると胃が痛くなるとかそういうコードフレーズがあってもいいんだけど、ディープフェイクが近づいてさえいないようなこと、ディープフェイクが近づいてさえいないようなこと、それが秘密なら、あなたそこまで進む必要があるかもしれません。なぜなら、ねえ、誰か、何か、または何らかの組織が、本当に、本当に、本当にこれらの方法であなたを標的にしていて、あなたはそれを達成できないのではないかと心配しているなら離れて。ボーカルのディープフェイクは、今では20秒未満に短縮されているため、そこまで進む必要があるかもしれません。20秒のボーカルデータは、ディープフェイクを正常に聞こえるようにトレーニングします。ええと、私たちはいつも音楽で聞いているからです。ミュージシャンはもう死なないようなものです。エルビスの新記録が手に入るみたいに新しいマイケル・ジャクソン、フランス・トゥパックが手に入るし、いい感じだね。そして今、人々は音楽をリリースしていて、他の人たちは、それはÁÍのように聞こえますが、実際には彼らの新曲に登場するアーティストだけのようです。人か、アーティストが曲を出して、あれは私じゃない、あれはÁÍ~だ、みたいな。そして、それがうまく行き、他の人々、有名人、またはあなたがよく知らない人々に基づいて自分自身を訓練し始めると、声のデータさえも信頼するのが難しくなり、まもなくオンラインで見るものも信頼するのが難しくなるでしょう。そのため、ゼロトラストの姿勢は人々の心理的な観点からも行われなければなりません。そうでなければ、90% のまま 90% にとどまり、停滞したままになります。あるいは、上がらなければ、脅威アクターは最も脆弱なものを狙うことになります。たとえば、認証情報を教えてもらえれば、何ができるかは関係ありません。何ができるかなんて全然関係ない。絶対に。]

[ラグー・ナンダクマラ 1:02:24]

[つまり、アーティストについて言えば、オートチューンが導入されて以来、本物のアーティストの話を聞いているかどうかはわかりませんが、あなたが聞くつもりだと言ったので、私たちが見ているものは信用できません。]

[ドクター・ハフマンタイムスタンプ]

[ÁÍやディープフェイクが攻撃され始めると、脅威アクターは私たちに対してこれらのもののいくつかを使用することを選択し始めます。はっきり見分けることはできませんが、写真フィルターなどを始めるとさらに悪化しました。ええ、フィルターを追加し始めると。ねえ、本物の人工知能だけど、みんなをフィルタリングしたみたいだ。ええ、人々には見分けがつかないので、さらに沈んでいます。そして、これはまだ始まったばかりです。世の中には悪い人工知能がいくつか存在します。なぜなら、ご存知のように、多くの人が指のように見え、ご存知のように、片手にそれを配る8本の指が7本あるからです。しかし、世の中にある良いもの、そして現代のものは、良くなってきています。たとえば、手の指が5本だけになり始めているように、余分な手足などではなく、手の指が5本だけになり始めているからです。これは、セキュリティ専門家を含む一般市民として、違いを見分けるにはどうすればよいかということにつながります。そして、今は違い、現在の状況、内容、脅威アクターを見分けることができないからです。これは脆弱性であり、一見しただけでは音声データに動画があるかどうかはわかりません。現在存在するÁÍ~ビデオに関する最新の調査は、現在30％ 35％程度であり、まだデータが飽和状態には近づいていないため、それでもコインフリップ未満であり、違いがわからないことがわかります。一般の人々として違いを見分けることができれば、私が探していた数字は70％を超えています。なぜなら、それはコインフリップ以上のものだからです。コインをはるかに超えるものですが、実際にはコイン投げよりも違いが小さく、実際のものとコンピューターによって操作されたものとの違いがわからないのはコイン投げよりもはるかに小さいです。]

[ラグー・ナンダクマラ タイムスタンプ]

[つまり、ハフマン博士、私たちはここで長い間レコーディングしてきたことを知っています。多くの時間を割いてきましたが、あなたが指摘した点にあまり期待は持てません。私たちが画像を見て、音を聞き、それが偽物か本物かを正確に判断できる確率は、コインを投げるよりもはるかに低いということですが、今日すでにそうです。そして、これらのÁÍモデルにさらに多くのデータを供給していきますよね？彼らは良くなるだけです。ですから、皆さんのメッセージを伝えるのと同じように、私たちは意識をどのように伝えるかを、潜在的に考え直さなければなりません。自分たちの作り方を絶対に考え直さなければなりません。サイバー攻撃の被害者であるのが個人であれ組織であれ、私たちがどのように対応するかについて、より準備が整っています。しかし、ここで言っている重要な点は、私たちは本当にそう考える必要があるということだと思います。しかし、必ずしもそこから人間の感情を除外することはできませんよね？このような状況で私たちがどのように対応するかは、私たちがお互いにどのように準備するかという非常に基本的なことであり、それがサイバーインシデントの管理を共同でより良くする唯一の方法です。]

[エリック・ハフマン博士 タイムスタンプ]

[間違いなく、すべての希望が失われたわけではないと思います。すべてのおかげで、多くの進歩が見込めると思います。私の研究で私が誇りに思っていることの1つは、何も売っていないということです。そして、そこには修正があります。90％でなくてもこれに対処できる心理的な方法があります。90% から 70% に削減すれば、サイバー犯罪者から数千億ドルが奪われることになります。そして、問題はテクノロジーではないと理解したからといって、「ねえ、私たちは何か新しいことを革新しなければならない」という意味ではありません。ただ、トレーニングの仕方を変えないといけない。私たちは考え方を変えなければなりません。環境についてもう少し理解し、対面よりもオンラインでの方が心理的に弱いのかを理解しました。たとえば、クレジットカード情報を直接伝えたり、銀行口座情報を伝えたりした人は誰もいません。それは起こっていないだけです。私たちはそれをオンラインでやっていますが、まあ、私は絶対にそんなことはしないでしょう。ええ、交通渋滞みたいな感じで、みんな運転が下手だけど、誰も下手じゃないみたいな。彼らに聞いたら、ええ、そうだと思います。みんなのところに行く方法があると思うでしょう。ですから、この問題を解決できるし、対処することもできますし、完全に自由にできるし、完全に自由に行えます。]

[ラグー・ナンダクマラ タイムスタンプ]

[絶対に。そこが素晴らしいと思います。それで、ハフマン博士、ポッドキャストにあなたが出演できてとても嬉しく、とても教育的でした。準備するときはわかる。あなたがウィル・スミスの大ファンで、私もフレッシュ・プリンス・オブ・ベルエアの大ファンです。Frés~h Prí~ñcéからのサイバーレッスンのようなものを取り入れることを計画していましたが、それは次のポッドキャストであなたがいるときのために残しておく必要があります。でも、どうもありがとうございます。ハフマン博士]

[エリック・ハフマン博士 タイムスタンプ]

[全く問題ありません。全く問題ありません。どうもありがとうございます。愛。感謝します。素晴らしいです。]

[ラグー・ナンダクマラ タイムスタンプ]

[今週のThé S~égmé~ñtのエピソードを視聴していただきありがとうございます。さらに詳しい情報とゼロトラストのリソースについては、当社のウェブサイト íl~lúmí~ó.cóm~ をご覧ください。Líñk~édÍñ~やÍllú~míóのT~wítt~érでも私たちとつながることができます。今日の会話が気に入ったら、ポッドキャストを入手できる場所で他のエピソードを見つけることができます。ホストのラグー・ナンダクマラです。すぐ戻ります。]

‍