Skip to main content
QUICK REVIEW

[論文レビュー] Automating the Communication of Cybersecurity Knowledge: Multi-Case Study

Alireza Shojaifar, Samuel A. Fricker|arXiv (Cornell University)|Jul 15, 2020
Information and Cyber Security参考文献 28被引用数 8
ひとこと要約

本論文では、自己決定理論(SDT)を用いて動機付けを高め、採用を促進する、小規模・中規模企業(SME)向けのDIYサイバーセキュリティ評価・改善ツールであるCYSECを提示する。マルチ・ケーススタディの結果、効果的な自動化されたサイバーセキュリティコミュニケーションは、カスタマイズされた評価質問、適応型の推奨事項、実地でのスキル、ツールの柔軟性、および機密情報の文書化への意欲に依存しており、成功の鍵は、能力、自律性、関係性といった心理的ニーズが満たされているかどうかにある。

ABSTRACT

Cybersecurity is essential for the protection of companies against cyber threats. Traditionally, cybersecurity experts assess and improve a company's capabilities. However, many small and medium-sized businesses (SMBs) consider such services not to be affordable. We explore an alternative do-it-yourself (DIY) approach to bringing cybersecurity to SMBs. Our method and tool, CYSEC, implements the Self-Determination Theory (SDT) to guide and motivate SMBs to adopt good cybersecurity practices. CYSEC uses assessment questions and recommendations to communicate cybersecurity knowledge to the end-user SMBs and encourage self-motivated change. In this paper, the operationalisation of SDT in CYSEC is presented and the results of a multi-case study shown that offer insight into how SMBs adopted cybersecurity practices with CYSEC. Effective automated cybersecurity communication depended on the SMB's hands-on skills, tools adaptedness, and the users' willingness to documenting confidential information. The SMBs wanted to learn in simple, incremental steps, allowing them to understand what they do. An SMB's motivation to improve security depended on the fitness of assessment questions and recommendations with the SMB's business model and IT infrastructure. The results of this study indicate that automated counselling can help many SMBs in security adoption. The final publication is available at Springer via https://link.springer.com/chapter/10.1007%2F978-3-030-59291-2_8

研究の動機と目的

  • リソースと専門知識が限られたSMEがサイバーセキュリティ対策を採用する動機付けのギャップを埋めるため。
  • 自動化されたDIYサイバーセキュリティコミュニケーションが、SMEの能力評価と改善を効果的に支援できるかどうかを検討するため。
  • 自己決定理論(SDT)の観点から、特に能力、自律性、関係性といった心理的動機付けが、ユーザーの関与をどのように促進するかを評価するため。

提案手法

  • CYSECは、自己学習型でツールベースの方法であり、セキュリティ専門家とSME従業員とのコンサルティング対話を自動化する。
  • 自己決定理論(SDT)を実装するために、能力、自律性、関係性といった構成要素を評価質問と推奨事項に統合する。
  • 各SMEのビジネスモデルとITインfra構造に適合した、パーソナライズされた評価質問と改善推奨事項を生成する。
  • 実世界のSME環境での使用状況を調査するために、思考 aloudプロトコルと観察ベースのデータ収集を用いた。
  • パターンマッチングと説明構築を用いて定性的に分析し、妥当性を確保するためメンバーチェックを実施した。
  • ユーザーの関与を高めるために、進捗要約、つながりを促進するアクションコックピット、能力分野マッピングを含む。

実験結果

リサーチクエスチョン

  • RQ1CYSECの自動化されたコミュニケーションは、SMEのサイバーセキュリティ対策採用への動機付けにどのように影響するか?
  • RQ2カスタマイズされた評価質問と推奨事項は、ユーザーの関与と行動変容をどの程度向上させるか?
  • RQ3心理的ニーズ(能力、自律性、関係性)は、自動化されたサイバーセキュリティコミュニケーションの効果性において、どのような役割を果たすか?
  • RQ4機密性の懸念と信頼は、SMEにおけるサイバーセキュリティ推奨事項の採用にどのように影響するか?
  • RQ5実世界のSME環境におけるDIYサイバーセキュリティ改善の実施を促進または阻害する要因は何か?

主な発見

  • 効果的な自動化されたサイバーセキュリティコミュニケーションは、SMEの実地スキル、ツールの柔軟性、および機密情報の文書化への意欲に依存した。
  • SMEは、自分自身のセキュリティ改善を理解し、制御できるように、シンプルで段階的なステップで学ぶことを好んだ。
  • セキュリティ向上への動機付けは、評価質問と推奨事項がSMEのビジネスモデルとITインfra構造とどの程度整合しているかに強く影響された。
  • 満たされていない心理的ニーズ、特に能力と自律性が、セキュリティ行動の採用を著しく妨げた。
  • 機密性の懸念が主な障壁となり、一部の組織内でも、ユーザーはセキュリティ関連データの記録や共有をためらった。
  • 本研究では、SDTの構成要素が適切に実装されれば、SMEにおける自動化されたサイバーセキュリティコミュニケーションの効果を説明・強化できることが判明した。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。