ここ数日ny等による情報漏えいが多発している訳ですが……。
(例えばココとかココとかココとか極めつけはココとか……。)
まぁ、nyの是非は今はココでは問わないとして、ここ最近情報漏えいを代表とする「セキュリティ事件・事故(インシデント)」が妙に多発しているような感じがします。
(もしかしたら今まで姿を現さなかった「氷山の下」がたまたま表沙汰になっただけかもしれませんが……。)
技術面だけの対応は「イタチゴッコ」になる可能性も高く、原因を根絶するのは難しい事から、そうなるともう1つのアプローチである「教育・啓蒙」からも併せて対策する……というのは今までも言い続けてきた事です。
(勿論教育・啓蒙だけでもアウト……結局「教育・啓蒙をしても必ず何人かはダメダメな人がいるよ~ orz」ってのはSKUF MTG#02 AMの部でも話した事ですネ。)
が、いざ一生懸命エンドユーザ向けに教育しても「ふーん」で終わってしまうケースも多いような……。
何がエンドユーザ向け教育を難しくしているのだろうか……自分なりの考えですけれど、「我々セキュリティ技術者の『常識』と、一般ユーザの『認識』との乖離が悪さをしているのではないかな?」と考えています。
---
(セキュリティ技術者の「常識」)
システムのセキュリティ対策は「システム管理者」が日常業務の一環として行うモノ。
原則各ベンダーからの情報を引っ張ってくる(Pull型)事で、対応を図る。
セキュリティ対策を怠ると、システムだけでなく、業務や生活に支障を来たす恐れがある。
---
(一般ユーザの「認識」)
基本的にセキュリティは誰かがしてくれる(少なくとも自分ではない)。
何かあったらメーカーからリコールなり何なりが来るでしょ(Push型)?
セキュリティをするためにPC・ネットを利用している訳ではないし、したからと言って自分に良い事なんてあるの(面倒くさいだけじゃないか)?
---
こういった「思いの乖離」が起きているのに、それを無視して「お前らとにかくやれ~」と言っても言う事を聞いてくれる訳が無いよなぁ……と。
要は「セキュリティ対策」を「自分事」として考えてもらえるようにするためには、どうしたら良いんだろう?、ってのが今のセキュリティ教育における最大の問題点かなぁ……。
(この辺までは、土曜病院のハシゴをしている間に立ち寄った喫茶店でまとめたネタです。)
---
(自分への宿題)
では、どうやったら「セキュリティ対策」を「自分事」として考えてもらえるのか、その興味の持たせ方(案)を挙げる事~!!(3月中に)
とりあえず、他の方々もこんなネタは良いんでないかいというのがありましたら、教えて頂ければ幸いです。m(_ _)m
(例えばココとかココとかココとか極めつけはココとか……。)
まぁ、nyの是非は今はココでは問わないとして、ここ最近情報漏えいを代表とする「セキュリティ事件・事故(インシデント)」が妙に多発しているような感じがします。
(もしかしたら今まで姿を現さなかった「氷山の下」がたまたま表沙汰になっただけかもしれませんが……。)
技術面だけの対応は「イタチゴッコ」になる可能性も高く、原因を根絶するのは難しい事から、そうなるともう1つのアプローチである「教育・啓蒙」からも併せて対策する……というのは今までも言い続けてきた事です。
(勿論教育・啓蒙だけでもアウト……結局「教育・啓蒙をしても必ず何人かはダメダメな人がいるよ~ orz」ってのはSKUF MTG#02 AMの部でも話した事ですネ。)
が、いざ一生懸命エンドユーザ向けに教育しても「ふーん」で終わってしまうケースも多いような……。
何がエンドユーザ向け教育を難しくしているのだろうか……自分なりの考えですけれど、「我々セキュリティ技術者の『常識』と、一般ユーザの『認識』との乖離が悪さをしているのではないかな?」と考えています。
---
(セキュリティ技術者の「常識」)
---
(一般ユーザの「認識」)
---
こういった「思いの乖離」が起きているのに、それを無視して「お前らとにかくやれ~」と言っても言う事を聞いてくれる訳が無いよなぁ……と。
要は「セキュリティ対策」を「自分事」として考えてもらえるようにするためには、どうしたら良いんだろう?、ってのが今のセキュリティ教育における最大の問題点かなぁ……。
(この辺までは、土曜病院のハシゴをしている間に立ち寄った喫茶店でまとめたネタです。)
---
(自分への宿題)
では、どうやったら「セキュリティ対策」を「自分事」として考えてもらえるのか、その興味の持たせ方(案)を挙げる事~!!(3月中に)
とりあえず、他の方々もこんなネタは良いんでないかいというのがありましたら、教えて頂ければ幸いです。m(_ _)m