--------(--)

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
2007-06-17(Sun)

メン・イン・ブラックが教えるセキュリティ教育

筆者は、Kansas City Life Insurance で UNIX/オープンシステム管理をしているが、筆者の会社でも、地球上のあらゆる会社と同様に、セキュリティに対する「注意喚起」が定期的に行われている。(自分たちにとって)ちょっと変わったことをしたところ、その課程で興味深いアイデアやヒントをいくつか得ることができた。同じ様なサイクルを立ち上げようとしている方々には便利かもしれない。

まず最初に、広報活動程度の内容でセキュリティの問題すべてを一度に解決することはできない。目標に達する可能性さえかなり低い。そのため、対象の広げすぎや機能の詰め込みすぎという難問を避ける必要がある。

最も重要な問題を2~3選び、ユーザーコミュニティーにこれら2~3の問題を教えたい。われわれの場合は、フィッシング、ノート PC や携帯端末の環境のセキュリティに関する基本、そしてコンピュータのそばを離れるときの画面のロックについて教えた。これは、PGP と NTFS のネイティブ暗号技術や、パスワードジェネレータの優劣を議論するといった内容でもない。これらも興味深いが、われわれの主題とはあまり深い関係がないため省略した。

いったん主題を決めたら、次はその提示方法を決めなくてはならない。このときは、標準的な PDF や PowerPoint などの眠気を誘うたぐいのものではなく、映画を試した。これには多数の利点があった。

まず第一に、セキュリティ教育をユーモラスなものにすることができる。内容を決める連中は、映画「メン・イン・ブラック」のパロディーにすることにした。筆者は、サングラスをかけて Tommy Lee Jones もどきの格好をし、さまざまなセキュリティの問題を説明した(残念ながら YouTube にはアップロードされていない)。多くの教育の専門家が言うように、ユーモアは大切な教材だ。これが聴衆の関心をつなぎ止めてくれる。彼らが興味を持ってくれれば目標の半分は達成されたも同然だ。

また、ビデオを使用すると、単に話をするだけよりもかなりインパクトの強い形で問題を説明できるようになる。もちろん、ノート PC やスマートフォンを盗むことがいかに簡単かを文章にすることもできる。

しかし、不意にだれかが自分の持ち物を奪い取って10秒もかけずに歩いて室外に逃げたり、オープンなワイヤレスネットワークの環境で前に座った人がトラフィックのスニッフィングを始める様子を見せた方が直接訴えかける。これらの問題は、実際に見た方が話を聞くだけよりもインパクトが強い。

画面のロックについても同じことがいえる。

最新youtube情報は・・・<% key
%>ランキング
からご覧下さい。




ここでも筆者は、これを題材にするしゃれた文章を書くこともできるが、起こりうることを紹介する20秒ほどのビデオがあったらどうだろう。はるかに効率的だ。長期間にわたって、これをストリーミングサーバーで公開したり(もちろん Quicktime でだ。われわれのところには Mac OS X Server があるので、これがすでに無償で2台ある)、DVD に焼いて新入社員研修の教材にすることも可能だ。したがってわれわれは、「セキュリティ意識向上月間」が単調で退屈なものにならないようにするだけでなく、新入社員にも確実に同じメッセージが伝えられるようになる。

ビデオの利点としてはほかにも、これを使うことで XP や Mac の画面ロック方法が説明できるだけでなく、実際に手順を見せることもできる点だ。「.AuWindows Key-L」の裏技に関しては、本当に単純なことであるにもかかわらず、Windows ユーザーから多数の感謝の連絡が来た。

自分が IT の人間で裏技を知っていても、ほかの人もそれを知っているとは限らない。ビデオはプラットフォームの影響を排除することにも役立った。当面の作業にはまったく重要でないため、登場する OS やハードウェアを心配する必要がなかった。

さて、ここで次のコツに移ろう。「宗教戦争」を避けることだ。これは一見したところ不可能のように思えるが、コンテンツはプラットフォームの影響を受けないようにしておく。非常に簡単なことだ。たとえば、ノート PC の盗難の問題では、そのノート PC の種類などはまったく無視している。スマートフォンやハッキング攻撃についてもすべてそうだ。OS のセキュリティなども回避した。それは、セキュリティの問題として妥当ではないからではなく、われわれが伝えようとしたメッセージとは無関係だからだ。ここは重要なので覚えておきたい。自分が伝えたいメッセージを他の問題で混乱させないことだ。Mac 派も Windows 派も Linux 派も全員が課題を持っているが、彼らを自分の課題にはしないことだ。

これはメッセージを伝えることに関する説明だが、伝えようとしているメッセージがとにかくそのまま人に伝わるようにすることだ。パニックを引き起こすような形で電子メールのセキュリティを説明してもしょうがない。情報は抑えめにして伝えるメッセージを明確にする方が、その逆よりも優れている。たとえば、フィッシングに関しては、URL のスプーフィング、フィッシング防止にあたっての電子メールクライアントの差、サーバーレベルの問題などの詳細に踏み込むことができる。だが、これはフィッシング対策の向上には役立たない。

いろいろな意味で、説明する相手の頭の中に入っていく必要がある。システム管理者向けのメッセージを非技術系の相手に伝えようとしても、内容はあまり伝わらない。一段と高い安全を確保するのに役立つもっと実用的な情報を提供できるよう、詳細部分を「優しくかみ砕く」方がよい。そうすれば、結局は自分の日常がもっと楽になるのだ。

本稿は、かなり技術的でも「Apple 寄り」でもないが、システム管理者だからといって、それが Mac のネッワークであっても、端末と開発環境だけを扱っていればよいわけではない。ネットワークを運用している人ならだれでも、いずれはユーザーにセキュリティを教育する必要が出てくるし、今回の筆者の経験があなたの運命の時に役立つことを願っている。



■関連記事
Outlook 2007 は Eメールを破壊するのか
セキュリティ管理者向けポータル

デイリーリサーチバックナンバー、コラム、セミナー情報等はこちらから
http://japan.internet.com/

デイリーでお届けする最新ITニュースメールの御購読申込はこちらから
http://japan.internet.com/mail/newsletters.html
(引用 yahooニュース)




CL/PDIR028ネット公開から最新の動画形式まで。全部入りビデオ編集&作成ソフト登場!サイバーリ...

スポンサーサイト

comment form

管理者にだけメッセージを送る

comment

最新クレジット情報一覧
カテゴリー
ブロとも申請フォーム

この人とブロともになる

ブログ検索
RSSフィード
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。