もう少しだけ現実逃避させて下さい(マテ)。
---
「『ny=悪』位の方がエンドユーザ教育をする立場としては、教えやすい」とは前に少し書きましたが、間違えないで欲しいのは、自分は「セキュリティは色々な方向から攻めていかないとダメだよネ」というポリシーを持っている事ですね。
(コレは直接お話した人は散々聞いているでしょうから、今更な話なのかもしれませんが。)
単にnyを使うのを止めた(アンインストールした)だけで、今の情報漏えい騒ぎが収束するかと言えばそうじゃないのは言うまでもありませんし(他に漏洩するルートなんてゴロゴロある……それこそメールでも、Blogでも何でも漏れるルートは色々ありますから)、技術面・リテラシー面・法規等色々な方向からセキュリティというのは考えて対策をしないといけないのは、情報セキュリティを強く意識している人ならば「知っていないとイケナイお話」な訳です。
が、エンドユーザはどうなんだろう?、と考えると……
何故セキュリティ対策をしないといけないのかが分からない・興味が無い・自分は無関係だと思っている(これは論外、まずは"躾"からだよなぁ……)。
セキュリティは重要なのは何となくは分かるけれど、何処から手を付ければ良いのかが分からない。
セキュリティが重要なのは分かり、ある程度の事は実践しているけれど、実は幾つか間違いがある(例えば「Windowsは危険、Linuxは安全」という間違った「神話」を覚えてしまい、Linuxが入ったPC等を使っているけれど、実はモジュールのアップデートを全くしていない……とか(極論過ぎかもしれないけど))。 ...etc...
……という人が大多数を占めているのかなぁ……と感じています。特に後ろ2グループは「迷える子羊グループ」とでも言っておきましょうか(苦笑)。
理想から言えば「こういったセキュリティレベルが低い人が使っても安全なシステムに持っていく(Fool Proofな考え方)」が良いんでしょうけれど、システムは急には変わらないので、結局「使う人のセキュリティレベルを底上げしていく」方向に持って行かざるを得ないかなぁ。
で、「『迷える子羊グループ』に属する人達を、上手に(結果としてセキュリティ・リテラシーレベルが高くなる方向へ)導くためにはどうしたら良いんだろうかねぇ?」というのが、散々考えているテーマな訳です。
-----
まだ綺麗に整理しきれていないけど、1つの案として考えているのは……
「まずはコレをやっとけ」的な対策を絞り込んで「啓蒙」する。絞り込む際のキーワードは「1テーマにつき『3つ』の対策」。"3"という数字は何かとキリが良く、何かと多用される数字なので、コレを生かさない手は無いかなぁ……と。勿論ココで挙げたモノは全てじゃない(全部やったからと言って絶対に安全である、とは教えない)という事は、最初に強く押す事。
この対策は1度挙げたらずーっと変えない訳じゃなくて、定期的(最低でも半年に1回……出来れば区切りが良い季節毎)に世情・動向を踏まえた上で見直していく。
出来れば、何かネット以外の媒体で広められれば良いなぁ……(笑)。
……という事。
結局の処、エンドユーザにとって何が「セキュリティは難しい」と思わせているかを考えると、我々技術者の悪い癖の1つなんですが「あれもこれもと言いたがる」事が、こう思わせているのかなぁ、と思っています。
つまり「専門家はプライオリティ(優先順位)を付けずにアレコレ言う」→「でもエンドユーザにはプライオリティを付けられるだけの能力(知識・技術・経験)が無い・不足している」→「それでも専門家はアレコレ言う」→「エンドユーザは余計混乱する」→……→「最終的に『セキュリティは難しい』の一言で片付けてしまい、これ以上考えなくなる」という「ドツボ(負)のループ」を如何に断ち切れるかが、エンドユーザ教育の成否を分けるんだと思っています。
……という事で、宿題ネタは一旦ブレイク。
次の目標は4月中に、絞り込んだ「これだけはやっておけな対策」を挙げる事ですね。今考えているのは5テーマなので、5テーマ×3つ=15の対策、という事ですね。
---
「『ny=悪』位の方がエンドユーザ教育をする立場としては、教えやすい」とは前に少し書きましたが、間違えないで欲しいのは、自分は「セキュリティは色々な方向から攻めていかないとダメだよネ」というポリシーを持っている事ですね。
(コレは直接お話した人は散々聞いているでしょうから、今更な話なのかもしれませんが。)
単にnyを使うのを止めた(アンインストールした)だけで、今の情報漏えい騒ぎが収束するかと言えばそうじゃないのは言うまでもありませんし(他に漏洩するルートなんてゴロゴロある……それこそメールでも、Blogでも何でも漏れるルートは色々ありますから)、技術面・リテラシー面・法規等色々な方向からセキュリティというのは考えて対策をしないといけないのは、情報セキュリティを強く意識している人ならば「知っていないとイケナイお話」な訳です。
が、エンドユーザはどうなんだろう?、と考えると……
……という人が大多数を占めているのかなぁ……と感じています。特に後ろ2グループは「迷える子羊グループ」とでも言っておきましょうか(苦笑)。
理想から言えば「こういったセキュリティレベルが低い人が使っても安全なシステムに持っていく(Fool Proofな考え方)」が良いんでしょうけれど、システムは急には変わらないので、結局「使う人のセキュリティレベルを底上げしていく」方向に持って行かざるを得ないかなぁ。
で、「『迷える子羊グループ』に属する人達を、上手に(結果としてセキュリティ・リテラシーレベルが高くなる方向へ)導くためにはどうしたら良いんだろうかねぇ?」というのが、散々考えているテーマな訳です。
-----
まだ綺麗に整理しきれていないけど、1つの案として考えているのは……
……という事。
結局の処、エンドユーザにとって何が「セキュリティは難しい」と思わせているかを考えると、我々技術者の悪い癖の1つなんですが「あれもこれもと言いたがる」事が、こう思わせているのかなぁ、と思っています。
つまり「専門家はプライオリティ(優先順位)を付けずにアレコレ言う」→「でもエンドユーザにはプライオリティを付けられるだけの能力(知識・技術・経験)が無い・不足している」→「それでも専門家はアレコレ言う」→「エンドユーザは余計混乱する」→……→「最終的に『セキュリティは難しい』の一言で片付けてしまい、これ以上考えなくなる」という「ドツボ(負)のループ」を如何に断ち切れるかが、エンドユーザ教育の成否を分けるんだと思っています。
……という事で、宿題ネタは一旦ブレイク。
次の目標は4月中に、絞り込んだ「これだけはやっておけな対策」を挙げる事ですね。今考えているのは5テーマなので、5テーマ×3つ=15の対策、という事ですね。