About
ǶϷۥ֥CISSPʾ󥷥ƥॻƥץեåʥǧˤĤ⺣˿òҤǴäƤޤ

LINKS

Advertisements

Nov 16, 2004


[Security] セキュリティとユーザ教育 13:00
「セキュリティレベルを向上させるにはユーザーへの啓蒙や教育、トレーニングが重要である。」といわゆるセキュリティの教科書に書いてあることが多い。セキュアドのテキストでもそういった記述をよく目にする。セキュリティ投資において人的リソースへの投資を忘れてはならないという文脈であればたぶんそれは正しい。

が、しかし、それは法人社内のITセキュリティについて言えることであって、一般的な消費者向けサービスには適用できない。セキュリティにおける議論では、どうもそのあたりを勘違いしている人もいると思う。ネットバンキングのセキュリティが低くてもいいのはエンドユーザの認知度、教育レベルが低いからだ、とか。エンドユーザーはそれについていけないとか。ひいては業界がもっと啓蒙してくれないと、そんな投資はできない、なんて話も出てくる。

そんなことを考えていたら、こんな記述に出会った。

圏外からのひとこと(2004-11-09)

* Alertbox: ユーザ教育はセキュリティ問題に対する解決策ではない

運転中の携帯電話使用で1日で3645件摘発されたそうですが、こういうリスク感覚を持っている人に、「パッチを入れろ」とか言っても無駄ですよね。

この記事の提案する解決策は、そういう意味で、非常に実際的で有効だと思う。

ここからリンクされている記事はこちら。

Alertbox: ユーザ教育はセキュリティ問題に対する解決策ではない(2004年10月25日)

テクノロジーの欠陥を直さずに、重荷をユーザに背負わせ続ける限り、私たちはインターネットの潜在能力を完全に引き出すことができないからだ。反対に、ユーザを必要以上に警戒させることによって、テクノロジーの限界まで使うことを拒ませてしまう。


うーん、まったくもって同感。セキュリティ・プロフェッショナルとしての私のスタンスは、いわゆるITコンサルタント的な(ユーザ教育云々を語るような)それではない。重荷を減らすようなセキュリティ。機会を最大化するテクノロジー。たぶんそれをあきらめた人が、安易に「教育・啓蒙」に流れていくのではないだろうか。
ブログランキング・にほんブログ村へ にほんブログ村 サラリーマン日記ブログ 30代サラリーマンへ [ブログランキングへ]
| コメント&トラックバック (0) | Parmanent link /Security/1100577331.html |
トラックバック、コメントは必要に応じて削除する場合があります。
This blog can only accept your comment in Japanese.
If you want to comment me, please start with greetings using 2-byte chars. :-)
Thank you for your understanding.
トラックバックの送信先:
http://blog.bywaysideway.com/Security/1100577331.tb
コメントを書く:

Ready to post a comment.