Nov 16, 2004
「セキュリティレベルを向上させるにはユーザーへの啓蒙や教育、トレーニングが重要である。」といわゆるセキュリティの教科書に書いてあることが多い。セキュアドのテキストでもそういった記述をよく目にする。セキュリティ投資において人的リソースへの投資を忘れてはならないという文脈であればたぶんそれは正しい。
が、しかし、それは法人社内のITセキュリティについて言えることであって、一般的な消費者向けサービスには適用できない。セキュリティにおける議論では、どうもそのあたりを勘違いしている人もいると思う。ネットバンキングのセキュリティが低くてもいいのはエンドユーザの認知度、教育レベルが低いからだ、とか。エンドユーザーはそれについていけないとか。ひいては業界がもっと啓蒙してくれないと、そんな投資はできない、なんて話も出てくる。
そんなことを考えていたら、こんな記述に出会った。
うーん、まったくもって同感。セキュリティ・プロフェッショナルとしての私のスタンスは、いわゆるITコンサルタント的な(ユーザ教育云々を語るような)それではない。重荷を減らすようなセキュリティ。機会を最大化するテクノロジー。たぶんそれをあきらめた人が、安易に「教育・啓蒙」に流れていくのではないだろうか。
が、しかし、それは法人社内のITセキュリティについて言えることであって、一般的な消費者向けサービスには適用できない。セキュリティにおける議論では、どうもそのあたりを勘違いしている人もいると思う。ネットバンキングのセキュリティが低くてもいいのはエンドユーザの認知度、教育レベルが低いからだ、とか。エンドユーザーはそれについていけないとか。ひいては業界がもっと啓蒙してくれないと、そんな投資はできない、なんて話も出てくる。
そんなことを考えていたら、こんな記述に出会った。
ここからリンクされている記事はこちら。* Alertbox: ユーザ教育はセキュリティ問題に対する解決策ではない
運転中の携帯電話使用で1日で3645件摘発されたそうですが、こういうリスク感覚を持っている人に、「パッチを入れろ」とか言っても無駄ですよね。
この記事の提案する解決策は、そういう意味で、非常に実際的で有効だと思う。
Alertbox: ユーザ教育はセキュリティ問題に対する解決策ではない(2004年10月25日)
テクノロジーの欠陥を直さずに、重荷をユーザに背負わせ続ける限り、私たちはインターネットの潜在能力を完全に引き出すことができないからだ。反対に、ユーザを必要以上に警戒させることによって、テクノロジーの限界まで使うことを拒ませてしまう。
うーん、まったくもって同感。セキュリティ・プロフェッショナルとしての私のスタンスは、いわゆるITコンサルタント的な(ユーザ教育云々を語るような)それではない。重荷を減らすようなセキュリティ。機会を最大化するテクノロジー。たぶんそれをあきらめた人が、安易に「教育・啓蒙」に流れていくのではないだろうか。
