Garbage Script on Goo BLOG

某SIerの"元"研究者 兼 情報Security技術者"F.Koryu"の日常の雑記置き場

ネコさんは……

2006-06-19 01:45:34 | SKUF Meeting#3
まっちゃがお嫌いのようでw。

……ごめんなさい、他意は無いです。>誰と無く

正しくは「まっちゃ味のクッキーはお気に召さないようで」です。

SKUF Meeting#03会場だった蒲田PiOの前にいたノラネコさんです。まだ若い(1~3歳程度?)ネコさんのようです(ちょっと皮膚病なのか、所々毛が老けている & 耳がタダレていたのが可哀想でしたが)。
これがまた人懐っこいネコで、スリスリ近寄ってきたり、平気で喉をゴロゴロさせてくれたりと、もう可愛くて^2。

で、多分近くの人(それも1人や2人ではない様子)からエサを貰いなれているからか「エサくれ~」とフンフン手に鼻を近づけるので、参加者の1人が余っていたお菓子の1つである「抹茶味のクッキー(ガレット?)」をあげようと近づけたところ、匂いは嗅いだけどプイッとソッポを向いてしまいました(苦笑)。
(バタークッキーは美味しそうに食べていましたけれどね……自分の手の平の上で食べるくらい人慣れしているようでw。)

お疲れ様でした~>SKUF Meeting#03

2006-06-19 01:34:15 | SKUF Meeting#3
杏酒ボトル半分空けたら、見事翌日は二日酔いでした。orz
(それほど痛くなかったのは、せめてもの幸いというところか?)

……と、お約束の後日談はここまでにして(笑)、SKUF Meeting#03参加者・関係者の皆様、お疲れ様でした。m(_ _)m

(以下つらつら~っとメモ)
  • 話すスピード速くて聞き取り難かった方、済みません。m(_ _)m もう癖なのは分かっているのでゆっくり話そうと意識はしているんですが、ついつい……(反省1)。
  • あと資料が見にくくて済みません。m(_ _)m 結構な人が印刷 or ダウンロードしてくれているのを見て嬉しい反面、紙を使わせてしまった事に心苦しさを感じてしまいました(反省2)。
  • やはりディスカッションのスタートダッシュは遅いよなぁ(1本目であるSさんの時)……これは互いに様子見しているからなのか、牽制し合っているからなのか……自分の時は既に場の空気を掴んだ人が多いからか、結構スムーズにディスカッションに入れましたけれど。
  • DACさんの処のイメージは、正しくその通りだと思います(苦笑)。まぁ、全員が同じ立場ではないので、齟齬(そご)が出るのは仕方が無いかなぁ……と思っています。壁のこちら側と向こう側を分ける差……色々あるけれど、事「企業のケース」で言えば「トップの認識」が大きいと思います(「セキュリティ≒(ネガティブな意味での)保険」のイメージとか)。
  • とは言え、色々な人の意見を聞けたのは嬉しい限りです(多謝)。
  • (まーさんのコメントに対するレス+補足)ディスカッションでの立場の齟齬は寧ろ当然……つーか無い方がおかしいですヨ。あれだけ立場がバラバラで齟齬が無い方が不気味かも(苦笑)。自分が「齟齬があるかなぁ……」と思ったのはディスカッション自身ではなく「上手く行っている組」と「そうでない組」(勝ち組・負け組という言葉があまりにもアレな感じでイヤなので……)を分ける壁という意味でです。無論最初から上手く行っている処なんて何処も無く、一生懸命苦しんだ結果、上手く回るようになったか、まだ苦しんでいる最中(現在進行形)なのか、という程度の差(ほんの僅かな差?)なのかなぁ……という感じをしています。
  • 確かネタの1つとして出た「セキュリティインシデントを起こした人が、指導する立場にしてしまう」……というのは良いアイディアだと思います。これは良く言われますが「教える事=教わる事」(正しく他人に教えるには、自分が正しい知識を身につけなければならないから)という事からも、良い方法の1つだよなぁ……と思っています。

    えーと、マジメなネタはこの辺までにして(どうせ他の人がレポート挙げてくれるサ(マテ))、終了後~懇親会にかけての雑記をw。
  • 既に画像をアップしましたが、ネコ~(Love)。もうね、可愛くって^2、お持ち帰りしたい事請け合い(マテ)。
  • 流石にアルコール度数15度の酒をボトル半分ってのは効きました。orz
  • 料理ウマー、ボリューム多い~(喜)、これで飲み放題付けて3.5k円ですか?!……うーん、安ひ……。今度から使わせてもらおうっと(笑)。
  • 併記された中国語のメニューが(笑)……「天然椰子汁」って(ヲ。(正解は「ココナツジュース」の事。) あ、でもサッパリした甘みで美味しかったですヨ。
  • 某Y21さんの脆弱性検証」を生(間近)で拝見w。でも、自分も昔はあんなんでしたよ(マヂ)……ほんの些細なキッカケと場数さえ踏めば、素材(外見・性格)は良いのですから、結構モテるのでは?
  • 座席移動後は、近くの人と色々な話で盛り上がる。一番盛り上がったのはウィルコムのPHS話。「京ぽん(1・2)は小さいPCである」「W-ZERO3は愛さえあれば大丈夫w」は(ヲ・笑)。
  • 流石に今回は1次会の終了が遅かった事と、何やら■い人ばかり(マテ、でも背後から聞こえるヤバい会話は……(ガクブル))だったので、2次会参加は見送り~……どうなったんだろうなぁ?

    • (メモ04)何が人を突き動かすのか?

    2006-06-16 16:52:20 | SKUF Meeting#3
    資料の事前公開に伴うメモは今回で最後です~。
    ---
    何が人を突き動かすのか?……何でも良いんですが「よし、やろう!!」と思い立つまでのキッカケ(と言うか動こうと判断させるための材料)は何か?、というのを考えると、実は結構面白かったりします。

    まぁ……「お前、やれ」と命令権のある人から言われれば、仕方なく動くというケースもありますが、これはワーストケース(命令されるという行為に対する苦痛から逃れるために「重い腰を上げる」訳ですから、その効果は押して知るべし)で、やはり「動く事によって、自分にとってメリットがある」、つまり「欲求を充足する事ができる」と判断したから動くケースが多いのではないかと思います。
    (心理学をかじった事がある人なら「マズロー(Maslow)の欲求階層説」あたりが当てはまりますね……経営学ならば「動機づけ理論」という名前で聞いた事があるかと思います。)

    自分の趣味(好きな事)には寝食を忘れて没頭するという事ってありませんか?(私はあります。)
    このケースは良いケースで、自分の趣味、つまり好きな事を行う事で精神的に充足される(欲求が満たされる)という事が定着しているため、多少辛くても「楽しい」と思えて時間も忘れて没頭してしまうという訳です。

    じゃあ「セキュリティ対策は?」と言われると……皆さんもご存知の通り、全く逆、「辛い」「苦しい」「面倒くさい」「訳分からない」とネガティブな要素が定着してしまっているため、アンチウイルスは入れない(更新しない)、Windows Updateも実施しない...etc...という状況に陥っている訳です。

    この状況を改善するアプローチとしては2つ。
    1つは「慣れる」という方向……面倒なのは確かだけれど、繰り返し実施する事で早く終わるようになり「苦痛から開放される時間が短くなる」「苦痛のレベルが低くなる」という結果から「まぁ、仕方ないか」と慣れさせる方向性。
    もう1つは「セキュリティ対策=自分の欲求を満たす行為である」と思い込ませる方向、つまりポジティブな方向に転換してしまう方向性。

    前者はルーティーン作業(工場の流れ作業や、日常の雑務)には向いていますが、セキュリティ対策は……と言われると、ルーティーンでないケース(ex:危険性の高いメール……ウイルスメール、詐欺・迷惑メールの処理)も多く、こっちの方向性ではないかなぁ……と。
    となると、多少無理やりでも構わないので「あ、セキュリティ対策は自分にとって良い(欲求を満たす)事なんだ」と思わせる方向で頑張るのがベターではないかなぁ……と思っています。

    要はですね、恐らく皆さんは「セキュリティ=自分にとってメリットがある事」というイメージが定着しているからこそ会場に来られるんでしょうが、そのイメージが定着したキッカケを思い出しつつ、「こんな人だったら、こういう攻め方をすると、良いイメージをすり込めるのでは?」という事を一緒に考えてみましょう、というのが今回の(自分なりに設定した)テーマだったりします。
    ---
    ……と、ダラダラととりとめの無い駄文(ヲ)を4本アップしてみましたが、如何でしょうか?

    では、当日会場で皆様とお会いできる事を楽しみにしております。(^o^)/

    (メモ03)議論の前提条件

    2006-06-15 12:31:13 | SKUF Meeting#3
    肝心な事書くの忘れてました。

    今回のお話、特に議論時の前提条件ですが。

    「セキュリティ対策にはお金(予算)がかかる事、そして予算は有限である。」
    「セキュリティ対策は手段であって目的ではない」

    ちょっと学生さんだと実感し辛いかな? それと「(悪い意味での)セキュリティ原理主義者(藁)」だと反発する向きもあるかもしれませんが、これが現実です。

    企業・組織が何のためのセキュリティ対策を行うのか、それは一重に企業・組織の目的を達成するために必要な行為であると認めた(勿論認めるのは組織の長(社長とか)や、長が委任した人ですヨ)から行うのであって、セキュリティ対策をしたいからする訳じゃありません。

    そして組織が動くために決める事として「予算」がある訳ですが、当然身の丈に合わない予算は組めない(倒産するから)ので、限られた枠の中で予算を組む事になります。
    で、問題なのは「予算はセキュリティ対策だけに使われるのではない(寧ろそれ以外の用途の方が多い)」という事です。
    予算という「限られたパイ」をどの位に切り分けるか、色々に部署が争奪戦を繰り広げる訳です(年度末の風物詩ですなぁ(笑))。
    セキュリティ対策というのは、企業・組織の直接の目的達成には結びつかないケースが多く、結果として優先度が低く付けられてしまう(=少ない予算が割り当てられる)事が殆どです。

    ついでに言うと、セキュリティ対策という枠では通常予算は組みません。「IT化予算」等の「情報システムの導入・運用費」の一部分として「セキュリティ対策費」が枠を割り当てられる(どの位と言うと難しいですが、昔N+I Network Guideに出た記事によると、IT化予算の1/10程度だとか……)ので、少ない予算の更にごく限られた金額で、組織全体のセキュリティ対策を実施していかなければならないというのが、現実なのですヨ。
    (もうね、心の中で「予算少ない~」と涙を流しつつ、アチコチからプレッシャーをかけられつつ地道な仕事に勤しんでいる訳ですよ、情シスというのは(苦笑)。)

    この前提条件を心の片隅に置きながら、資料を読んだり議論をしないと、歯車が噛みあわない事請け合いですのでご注意下さいませ。m(_ _)m

    (メモ02)「エンドユーザ向けセキュリティ教育=リテラシー教育」ではない?!

    2006-06-15 12:02:23 | SKUF Meeting#3
    今回、事前公開された資料の4P(今回のお話の定義)に……
    ---
    (リテラシーの内容も含むが)指示・命令に近い性質を持つ
    ---
    ……の一文があり、「アレ?」と思われた方もおられるのではないでしょうか?

    まぁ、確かに普通は「エンドユーザ向けセキュリティ教育=リテラシー教育」ですよね。

    でも、事「企業・組織の中」においては必ずしもイコールではないんですよ。
    と言うのも……
  • 企業・組織内の規定(ローカルルール)に関する事も教育内容に含まれる。
  • ローカルルールには、リテラシーにそぐわない内容(一般的にはより厳しい方向・限定的な方向になりますが)も含まれる。
  • ローカルルールは所詮「限定された範囲でのお約束」なので、その組織から外れた場合には流用は殆ど効かない。
    ……という事から、あのような一文が入る訳です。

    この辺は、後で簡単なイメージを付けた方が分かりやすいかも……ちょっと検討します。

    例を挙げるなら「ネット上で転がっているフリーウェア等の導入」かなぁ……
  • リテラシー教育では「ちゃんと素性を確認した上で、At Your Own Riskで導入、利用する事。また定期的にバージョンアップを行う事(セキュリティホール潰しのため)」……辺りが教えられる(はず)。
  • 企業・組織内では、次のパターンが考えられます。
    • 勝手に入れるな!!(例外無し)
    • 勝手に入れるな!!(例外有り、ルールに従えばOK)
    • 特定のモノは入れろ(バージョンアップは勝手にするな、指定されたバージョンを使え)
    • 特定のモノは入れろ(バージョンアップは各自で行え)
    • リテラシーと全く同じ、各自自己責任で ……etc……

    ……とまぁ、リテラシーで教えられた内容とは異なるケースもあるヨ、という事を頭の片隅の中に置いて頂くと、資料も読みやすくなるかなぁ……という事で。

    • (メモ01)お話の対象範囲について

    2006-06-13 13:16:03 | SKUF Meeting#3
    折角SKUF Meeting用のカテゴリを作ったので、ボチボチとメモをアップ……。
    ---
    (01:今回のお話の対象範囲について)
    今回は「企業・組織の従業員・職員向け」という事でお話をさせて頂く予定です。
    なので学校関係者(先生・事務員など)や学生の方はちょっとゴメンナサイって事になります。m(_ _)m
    (まぁ、学生さんには、会社等ではこんな感じなんだよ~って事で参考になる……のかなぁ……(苦笑)。)

    逆に教育現場におけるセキュリティ教育の現状や問題点などを教えて下さいって感じですね。(^-^;)ゞ

    教育現場でのセキュリティ教育の難しさって(今回の出番のキッカケとなった、前回AMの部のライトニングトークでもN先生が触れていましたが)「学生はお客様である」という点なのかなぁ……という気がしています。
    (他にも人生経験が不足し、思慮不足に陥りやすい傾向にあるというのが、参考資料でも挙げたIPA調査レポートでも顕著に現れていたりしますが、それはまた別のお話という事で。)

    流石にお客様相手に「ああせい、こうせい」と指示・命令は(普通は)出来ませんよね(良くて「お願いします」と平身低頭で)。
    でも、あまり勝手気ままに学校LAN内で暴れられてもインシデントは学校が負いますから、どう上手にコントロールしていくかで頭を悩ましている方が多いのかなぁ……って気がしています。

    うーん、何か良い解決方法はあるのかなぁ……。

    SKUF Meering#3用カテゴリを新設しました

    2006-06-12 09:13:24 | SKUF Meeting#3
    いよいよ今週末SKUF Meeting#3が開催されます。
    それに伴い、お約束していた「資料の事前公開」の方も先週土曜に無事公開されました。
    ---
    資料はSKUF公式Siteからダウンロードできます
    資料を読むには、Acrobat Reader 5.x以上が必要です。
    資料は見易さを重視しているので、紙を節約する必要がある場合はプリンタ側の設定でnアップ設定を行って下さい。
    ---

    そこで、セキュリティに関するネタでも特にSKUF Meetingに関するネタ用に「SKUF Meeting#3」カテゴリを新設しました。
    資料を読む、議論するためのヒント等はこのカテゴリに書きますので、何かご不明な点がございましたらコメントなりトラックバックなりして頂ければ幸いです。m(_ _)m