2008/04/17 新倉茂彦 CNETブログアーカイブ

毎回やってられねぇ——セキュリティの限度と効果とは?

MS:「VistaのUACはユーザーをいらいらさせるために搭載した」CNET Japanより

サンフランシスコ発–Microsoftの製品ユニットマネージャーを務めるDavid Cross氏によると、「Windows Vista」のユーザーアカウント制御(UAC)は、故意にユーザーを「いらいらさせ」、サードパーティのソフトウェアメーカーにセキュリティの高いアプリケーションを作るよう圧力をかけるために設計されたのだという。

Cross氏は米国時間4月10日、サンフランシスコで開催された情報セキュリティイベント「RSA Conference 2008」で次のように語った。「(Vistaに)UACを搭載したのはユーザーをいらいらさせるためだ。これは真面目な話だ

Kasperskyは、Vistaの発売に先立つ2007年1月、UACには効果がないとするレポートを発表した。それによると、セキュリティの観点からは見かけ上危険な振る舞いに近くても、実際は無害の動作をするアプリケーションが多数あるという。

UACとは、ユーザー・アカウント制御(User Account Control)”続行するにはあなたの許可が必要です”と度々画面が暗くなり出てくる−−−ご存じのVISTAから搭載された機能である。

良い点で言えば、何かのアクションが起こる度に確認をしてくれるので、セキュリティ的には良いだろう。これは模範的な言い方(笑)

良くない点で見れば、度々に出てくるメッセージは、”ウザったい”そのもので効果がなくなってしまう。日に何回も出てくるので、毎回そのアクションに対して、あまり考えずにクリックしてしまう。悪い意味での反復になってしまっている。若しくは、UAC自体の機能を止めることが出来るので、結局は形骸化している。残るものは、ウザったいメッセージが出てくるイメージだけ。

もちろんセキュリティにおいて、反復練習であるとか、標語のようにしつこい程に何度も見ることで、効果の上がってくるものもある。

実験心理学が教える人を動かすテクノロジによれば、 人が何度も同じことを言うことは現実的にはできなくとも、機械に機械的なメッセージを何度も促すことで、結果としてイメージの深い部分に残るものでもあるという。これは、反復における洗脳のようなものだ。

これが悪いと一概に言えない部分もある。ここが何とも言い難いところであり、人間の心理を突いたものであることも事実なのだ。反復練習そのもの。

ここで考えたいことは、限度と効果の部分である。

管理する側としては、何度も何度も行うことで身につけてもらいたいと考える。これは当たり前のことだ。

管理される側としては、いい加減にしてもらいたい。。。と思うところ。

いずれもバランスの問題に行き着くと考えている。限度が過ぎれば、効果が上がるかもしれない— or —逆に効果は激減して、それ自体に過敏になり悪意が芽生える。

反復の程度により、効果の進度と深度に影響してくる。やはりここでもバランスが重要になってくるだろう。

毎回やってられねぇ−−−と思いながら、思われながらも、そうでもしないと浸透しないもの事実。

セキュリティの効果を最大にするには、規制を厳しくすること。1つの方法である。一方で、厳しい規制の中で仕事の進捗に影響が出てくるものも多くある。悪いことをするつもりは毛頭なくとも、仕事を早く進めるために、規制の回避をしているケースも多くある。これは、ルールそのものが、まったく機能していないことになる。厳しすぎる規制とトレードオフに脅威が増大する。

中庸というか、間合いというか、適度なあんばいとでもいうのか?

最大の効果は、最大の規制ではない。緩くすることではないが、バランスを間違えなければ、そこが最大の効果ポイントになる。このポイントを見極めるのが、一番難しいのだが、それぞれの風土に合った方法を探すことが、近道になるのである。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。
詳細はこちらへ
カテゴリー
CNETブログアーカイブ

2 thoughts on “毎回やってられねぇ——セキュリティの限度と効果とは?

  1. 加藤和江 より:
    2008/04/18 00:00

    ユーザーアカウント制御があまりにウザいので
    超がつくほどのスピードでこの機能をオフにしました。
    個人運営のブログにこの方法を書いたら
    同じような人がたくさんいらっしゃって
    「やっぱりな」って苦笑してしまいましたよ。

  2. 新倉 茂彦 より:
    2008/04/19 00:00

    加藤さん、コメントありがとうございます。新倉です。
    ほどよい”ウザさ”ならば良いのかもしれませんね。
    その”ほどよいウザさ”の範囲がわかりません。私(笑)
    しかし、”ウザい”と思われる段階で、効果はないのかもですね。「みんなの意見は案外正しい」なんて本もありましたし・・・

この投稿はコメントできません。