毎回やってられねぇ——セキュリティの限度と効果とは?
MS:「VistaのUACはユーザーをいらいらさせるために搭載した」:CNET Japanより
サンフランシスコ発–Microsoftの製品ユニットマネージャーを務めるDavid Cross氏によると、「Windows Vista」のユーザーアカウント制御(UAC)は、故意にユーザーを「いらいらさせ」、サードパーティのソフトウェアメーカーにセキュリティの高いアプリケーションを作るよう圧力をかけるために設計されたのだという。
Cross氏は米国時間4月10日、サンフランシスコで開催された情報セキュリティイベント「RSA Conference 2008」で次のように語った。「(Vistaに)UACを搭載したのはユーザーをいらいらさせるためだ。これは真面目な話だ。
Kasperskyは、Vistaの発売に先立つ2007年1月、UACには効果がないとするレポートを発表した。それによると、セキュリティの観点からは見かけ上危険な振る舞いに近くても、実際は無害の動作をするアプリケーションが多数あるという。
UACとは、ユーザー・アカウント制御(User Account Control)”続行するにはあなたの許可が必要です”と度々画面が暗くなり出てくる−−−ご存じのVISTAから搭載された機能である。
良い点で言えば、何かのアクションが起こる度に確認をしてくれるので、セキュリティ的には良いだろう。これは模範的な言い方(笑)
良くない点で見れば、度々に出てくるメッセージは、”ウザったい”そのもので効果がなくなってしまう。日に何回も出てくるので、毎回そのアクションに対して、あまり考えずにクリックしてしまう。悪い意味での反復になってしまっている。若しくは、UAC自体の機能を止めることが出来るので、結局は形骸化している。残るものは、ウザったいメッセージが出てくるイメージだけ。
もちろんセキュリティにおいて、反復練習であるとか、標語のようにしつこい程に何度も見ることで、効果の上がってくるものもある。
実験心理学が教える人を動かすテクノロジによれば、 人が何度も同じことを言うことは現実的にはできなくとも、機械に機械的なメッセージを何度も促すことで、結果としてイメージの深い部分に残るものでもあるという。これは、反復における洗脳のようなものだ。
これが悪いと一概に言えない部分もある。ここが何とも言い難いところであり、人間の心理を突いたものであることも事実なのだ。反復練習そのもの。
ここで考えたいことは、限度と効果の部分である。
管理する側としては、何度も何度も行うことで身につけてもらいたいと考える。これは当たり前のことだ。
管理される側としては、いい加減にしてもらいたい。。。と思うところ。
いずれもバランスの問題に行き着くと考えている。限度が過ぎれば、効果が上がるかもしれない— or —逆に効果は激減して、それ自体に過敏になり悪意が芽生える。
反復の程度により、効果の進度と深度に影響してくる。やはりここでもバランスが重要になってくるだろう。
毎回やってられねぇ−−−と思いながら、思われながらも、そうでもしないと浸透しないもの事実。
セキュリティの効果を最大にするには、規制を厳しくすること。1つの方法である。一方で、厳しい規制の中で仕事の進捗に影響が出てくるものも多くある。悪いことをするつもりは毛頭なくとも、仕事を早く進めるために、規制の回避をしているケースも多くある。これは、ルールそのものが、まったく機能していないことになる。厳しすぎる規制とトレードオフに脅威が増大する。
中庸というか、間合いというか、適度なあんばいとでもいうのか?
最大の効果は、最大の規制ではない。緩くすることではないが、バランスを間違えなければ、そこが最大の効果ポイントになる。このポイントを見極めるのが、一番難しいのだが、それぞれの風土に合った方法を探すことが、近道になるのである。
新倉茂彦
最新記事 by 新倉茂彦 (全て見る)
- 【共通用語】パスワードを電話で伝える時に間違えない方法 - 2020/12/03
- 【国勢調査2020】調査員支給のバッグがフリマに←総務省は注意喚起? - 2020/09/15
- 【国勢調査2020】騙されないために最低限守るべき注意3ヶ条(前回2015年) - 2020/08/05
45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ
■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。
■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。
2 thoughts on “毎回やってられねぇ——セキュリティの限度と効果とは?”
この投稿はコメントできません。
ユーザーアカウント制御があまりにウザいので
超がつくほどのスピードでこの機能をオフにしました。
個人運営のブログにこの方法を書いたら
同じような人がたくさんいらっしゃって
「やっぱりな」って苦笑してしまいましたよ。
加藤さん、コメントありがとうございます。新倉です。
ほどよい”ウザさ”ならば良いのかもしれませんね。
その”ほどよいウザさ”の範囲がわかりません。私(笑)
しかし、”ウザい”と思われる段階で、効果はないのかもですね。「みんなの意見は案外正しい」なんて本もありましたし・・・