毎回やってられねぇ——セキュリティの限度と効果とは?

MS:「VistaのUACはユーザーをいらいらさせるために搭載した」CNET Japanより

サンフランシスコ発–Microsoftの製品ユニットマネージャーを務めるDavid Cross氏によると、「Windows Vista」のユーザーアカウント制御(UAC)は、故意にユーザーを「いらいらさせ」、サードパーティのソフトウェアメーカーにセキュリティの高いアプリケーションを作るよう圧力をかけるために設計されたのだという。

Cross氏は米国時間4月10日、サンフランシスコで開催された情報セキュリティイベント「RSA Conference 2008」で次のように語った。「(Vistaに)UACを搭載したのはユーザーをいらいらさせるためだ。これは真面目な話だ

Kasperskyは、Vistaの発売に先立つ2007年1月、UACには効果がないとするレポートを発表した。それによると、セキュリティの観点からは見かけ上危険な振る舞いに近くても、実際は無害の動作をするアプリケーションが多数あるという。

UACとは、ユーザー・アカウント制御(User Account Control)”続行するにはあなたの許可が必要です”と度々画面が暗くなり出てくる−−−ご存じのVISTAから搭載された機能である。

良い点で言えば、何かのアクションが起こる度に確認をしてくれるので、セキュリティ的には良いだろう。これは模範的な言い方(笑)

良くない点で見れば、度々に出てくるメッセージは、”ウザったい”そのもので効果がなくなってしまう。日に何回も出てくるので、毎回そのアクションに対して、あまり考えずにクリックしてしまう。悪い意味での反復になってしまっている。若しくは、UAC自体の機能を止めることが出来るので、結局は形骸化している。残るものは、ウザったいメッセージが出てくるイメージだけ。

もちろんセキュリティにおいて、反復練習であるとか、標語のようにしつこい程に何度も見ることで、効果の上がってくるものもある。

実験心理学が教える人を動かすテクノロジによれば、 人が何度も同じことを言うことは現実的にはできなくとも、機械に機械的なメッセージを何度も促すことで、結果としてイメージの深い部分に残るものでもあるという。これは、反復における洗脳のようなものだ。

これが悪いと一概に言えない部分もある。ここが何とも言い難いところであり、人間の心理を突いたものであることも事実なのだ。反復練習そのもの。

ここで考えたいことは、限度と効果の部分である。

管理する側としては、何度も何度も行うことで身につけてもらいたいと考える。これは当たり前のことだ。

管理される側としては、いい加減にしてもらいたい。。。と思うところ。

いずれもバランスの問題に行き着くと考えている。限度が過ぎれば、効果が上がるかもしれない— or —逆に効果は激減して、それ自体に過敏になり悪意が芽生える。

反復の程度により、効果の進度と深度に影響してくる。やはりここでもバランスが重要になってくるだろう。

毎回やってられねぇ−−−と思いながら、思われながらも、そうでもしないと浸透しないもの事実。

セキュリティの効果を最大にするには、規制を厳しくすること。1つの方法である。一方で、厳しい規制の中で仕事の進捗に影響が出てくるものも多くある。悪いことをするつもりは毛頭なくとも、仕事を早く進めるために、規制の回避をしているケースも多くある。これは、ルールそのものが、まったく機能していないことになる。厳しすぎる規制とトレードオフに脅威が増大する。

中庸というか、間合いというか、適度なあんばいとでもいうのか?

最大の効果は、最大の規制ではない。緩くすることではないが、バランスを間違えなければ、そこが最大の効果ポイントになる。このポイントを見極めるのが、一番難しいのだが、それぞれの風土に合った方法を探すことが、近道になるのである。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。

2 thoughts on “毎回やってられねぇ——セキュリティの限度と効果とは?

  1. 加藤和江 より:

    ユーザーアカウント制御があまりにウザいので
    超がつくほどのスピードでこの機能をオフにしました。
    個人運営のブログにこの方法を書いたら
    同じような人がたくさんいらっしゃって
    「やっぱりな」って苦笑してしまいましたよ。

  2. 新倉 茂彦 より:

    加藤さん、コメントありがとうございます。新倉です。
    ほどよい”ウザさ”ならば良いのかもしれませんね。
    その”ほどよいウザさ”の範囲がわかりません。私(笑)
    しかし、”ウザい”と思われる段階で、効果はないのかもですね。「みんなの意見は案外正しい」なんて本もありましたし・・・

この投稿はコメントできません。