[port139ml:05395] Re: Passwords revealed by sweet deal

[Sonoda Michio <sonodam@xxxxxxxx>]

園田です。
どもー。

> 英国でも当然のことながら、組織内でセキュリティのアウェアネス教育を
> 実施していると思うのですが、こういった調査結果を見ると、果たして
> アウェアネス教育というものがどれほど有効なのかと疑問に思ってしまい
> ます。
> 
> また、いまだにメール添付ファイルをダブルクリックしてウィルスに
> 感染する人が非常に多いことなどを考えると、もはや大人になってから
> アウェアネス教育をしても手遅れなんじゃないかと、個人的には思って
> います。
> (飛躍しすぎ? ...もちろん無意味だとは言いませんが...)

わたしも昨年のいまごろあたりは「社内セキュリティ教育？リテラシー向上？無
駄無駄無駄無駄っ」って思っていました（笑）。
今もそのベースは変わりが無いんですが、もしかするとやり方もマズいんじゃな
いのかなあ？って思っています。
大人になってしまった人を動かすには、もっと具体的なリスクを提示してあげた
り、ニンジンを見せてあげたり（笑）、そういうテクニックが必要なんじゃない
かなあ？って思うんですよね。定期的にパスワード監査ツールを流して、成績優
秀者は旅行券とか表彰（はちょっと動機としては薄いかなあ）とか。
リスクといっても「会社や組織としてのリスク」ではなくて「あんた自身の身に
降りかかる災難」という感じですね。
それも、これまでの論法のように「成りすまし」とか「勝手に買い物」とかいう
言い方ではなく、

・パスワード管理がしょぼいと、元派遣会社社員さんのお友達さんとか（笑）に
かんたんに盗まれて、あげく会社に大損害。降格どころがクビになっても文句は
言えず、それだけならまだしも損害賠償請求されるおそれもある。ちなみに損害
賠償って賠償する人の状況を見るんだけ、ど類似のケースでは○○○万円
・金の話で済むならそれでもいいけど、そうなると間違いなく今の人間関係は壊
れます。職場の友人とかそういうところと切れるだけならまだしも、表ざたとか
裁判沙汰にでもなれば家庭や近所、昔からの友人関係なども影響は免れないです
なあ（ここらも脅しばりばりかも）

というリスクの説き方にすれば、少しは実感してもらえそうな気がしますねえ。
これだけいろいろ起きている今ならば。
もちろんパスワード管理をじゃあ具体的にどうすればいいの、というのとセット
でなきゃならないと思いますので、例えばこちらもこれまでのように理想的な管
理策のみ説くのではなくて、

・メモして管理しましょう
・メモは財布に入れときましょう（財布ならとにかく身に着けているでしょ）
・あるいは携帯に書き込んでおいて呼び出せるようにしましょう（携帯を落とし
たところで、そこに書かれているパスワードをすぐに悪用できるものでもないし）

とかいう現実的な管理策も示す必要があると思いますけど。

> やはりこのような教育は、低年齢(小、中学生)のころからじっくりと
> 行うべきなんでしょうね。

小学生による小学生殺人も「ネットへの書き込み」がきっかけだったという話も
ありますので、この年代からきちっと「安全な使い方」について覚えてもらう必
要があると思いますねえ。しかもかなり急務であるような気がします。

----->
園田道夫
Microsoft MVP(Security)
「Snort2.0侵入検知」発売中（http://store.sbpnet.jp/bm_detail.asp?sku=479732533X）
極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)
セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/)