Increasing Security Sensitivity With Social Proof: A Large-Scale Experimental Confirmation

“Security Sensitivity”の効果検証に関する論文(CSS 2014)．

コンピュータセキュリティにおける問題の１つに，利用可能なツールの存在とその利用方法を知らなければならない，というものがある．これに対する有望だが未探求のアプローチとして，”Social proof”の利用がある．具体的には，友人がどんなツールをどのように使用しているかを見る(知る)ことを想定している．
このアプローチの効果を探るため，Facebookを利用している50000人のユーザを対象に調査を行なった．実験において使用を推奨したセキュリティ機能は，ログイン通知，ログイン承認，と信頼済み連絡先の３つである．
実験結果から，推奨するセキュリティ機能を利用している友人の人数を示すことが最も効果があった．しかし，セキュリティ機能の導入率はSocialアナウンス(<=このツールはxx人の友人も使っている，という情報を含める)の有無間で有意な差は見られなかった．
またフォローアップ調査で，Socialアナウンスによって利用可能なセキュリティ機能への気づきを改善することも確認された．

書誌情報:
S.Das, A.D.I.Kramer, L.A.Dabbish, J.I.Hong,
“Increasing Security Sensitivity With Social Proof: A Large-Scale Experimental Confirmation”
CCS 2014
ACM DL: https://dl.acm.org/doi/10.1145/2660267.2660271

「Social proof: 友人が使用しているセキュリティ機能を見せること」と定義．これがセキュリティ機能を使おうとする動機付けになり得ると考えた．5万人のFacebookのユーザに対し，3つのセキュリティ機能（ログイン通知，二要素認証，信頼できる友人）について，7つのsocial proofと1つのnon-socialな条件でその効果を検証．non-social条件と比較してsocial proofの方がセキュリティ機能を試し，また利用するようになるという結果を得た．

• Security sensitivity[9]が今後より重要となるだろう．

1. セキュリティツールの存在を知り，
2. 使ってみたいと思わせる，
3. そして利用方法に関する知識を取得させる．

• 二要素認証は全てのサービスで全てのユーザが使用する必要はないかもしれないが，それでもその存在と使い方，そして利用可能であることが広く知られることは極めて重要である．
• Social proofは，人々の振る舞いを変更するのに有効: 家でのエネルギー消費，ホテルでのタオル利用，子供の犬恐怖症の克服の事例．そしてSecurity domainでもその効果はありうるとの論文[9](同著者らの論文 at SOUPS’14)
• Social proofによるSecurity sensitivityの向上に関する初の実験的検証を実施
• 「あなたの友人はこういうセキュリティ機能を利用しています」と，通知．通知方法にはspecificityとframingを利用:
• specificity: 1) 利用者人数を直接提示，2) 人数を”some”とぼかす
• framing: “only”とか”over”といった解釈に影響を与えそうなキーワードを利用
• 7条件のsocial proofすべてで効果があった．特に利用者人数を直接提示し，framing wordsを使わない方法が最も効果的であった．
• 両条件間で今まで利用していなかったセキュリティ機能を利用し始めたユーザの数に有意差はなかった．
• なお事後の調査で，Social proofによる通知は，少なくとも間接的に，利用可能な追加セキュリティ機能に関する気づきを向上させる点に効果があることが確認できた

(論文内Figure 1より引用)

上は通常のダイアログ，下はSocial proofに基づき，友人におけるセキュリティ機能の利用状況データが正確な数字として提示されたダイアログ(「あなたの友人108人がこのセキュリティ設定を利用しています」と明示されている）．

実験条件は８つ．Social proofのあり/なし，framing wordの有無と種類，Specificity(値表記)の違いがある．

• Control group (<= Social proofなし)
• framing word:”Over” / 表記:(数値 or パーセントの2通り)
• framing word:”Only” / 表記:(数値 or パーセントの2通り)
• framing word:”Raw” / 表記:(数値 or パーセントの2通り)
• framing word:”Some”

実験仮説とその結果は以下の通りとなった

• H1: Social通知は単なる通知よりも(通知の)クリック率が高くなる
  ⇒ Yes (有意差ありでかなりの差)
• H2a: セキュリティ機能を利用している友人が多い人ほど，通知をクリックする傾向がある
  ⇒ Yes
• H2b: セキュリティ機能を利用している友人が多い人ほど，短期&長期的にセキュリティ機能を利用する傾向がある
  ⇒ Yes
• H3a: 数値表記による条件はパーセント表記によるものよりもクリック率が高くなる
  ⇒ Yes
• H3b: framing word “Raw” は，”Over”や”Only”のframing wordよりも高いクリック率になる
  ⇒ No
• H4: framingに曖昧さが少ないほどクリック率は高くなる．つまりframing word “Some”は，最もクリック率が低くなる
  ⇒ No
• H5: 推奨されたセキュリティ機能の実験実施1週間後の利用率は，Social通知と単なる通知で同様である
  ⇒ Yes
• H6: 推奨されたセキュリティ機能の実験実施5ヶ月後の利用率は，Social通知を見た人の方が単なる通知を見た人よりも高くなる
  ⇒ No

— ends here