［CRYPTO-GRAM日本語版］ユーザー教育

2006.10.03

Bruce Schneier　

「CRYPTO-GRAM　September 15, 2006」より

　私はいろいろなユーザーに会ってきた。ユーザーはセキュリティに関して詳しくはない。表計算ソフトウエアや（オークション・サービスの）eBayを使ったり，電子メールで冗談を送ったりすることは得意なのかもしれないが，技術者ではないし，ましてセキュリティの専門家でもない。当然，ユーザーはセキュリティに関するあらゆる種類の間違いを犯す。私もユーザーを教育しようとはしたが，大抵は無駄になると納得した。

　問題の一部は世代の差にある。世代による違いは，電気や電話，電子レンジ，ビデオ，ゲームなどあらゆる技術においてみられる。年配者が不安や不信，混乱を抱きながら目新しい技術に近付くのに対し，こうした技術とともに成長した子供世代は直感的に理解する。

　しかしこうした「新しい技術を理解できない」世代はいずれ去ってしまうし，我々がいきなり前例のないコンピュータ・セキュリティの時代に突入することもない。ただし，近ごろは技術の進歩が速すぎて，何かを習得しようとしても，あらゆる世代にとって時間が足りなくなった。

　2006年初め，ある研究グループがロンドンの金融街で実験を行なった。街頭で「バレンタイン・デーの特別な宣伝」と説明しながら，通りがかる人にCDを渡すというものだった。多くの人――なかには機密にうるさいはずの銀行で働いている人もいた――が，職場のコンピュータでそのCDに入っていたプログラムを実行した。そのプログラムは悪質なものではなく，実行されたことをインターネット経由で何台かのコンピュータに通知するだけだったが，何らかの危害を及ぼすことも簡単にできただろう。実験を行った研究者たちは，「ユーザーはセキュリティなど気にかけない」との結論を出した。この結論は完全に間違っている。ユーザーはセキュリティを心配しているが，理解できていないだけなのだ。

　私は教育に問題があったという例を知らない。技術に問題がある例なら知っている。この実験では，ユーザーが受け取ったCDを実行できる環境にあったり，銀行のコンピュータ上のプログラムが勝手にインターネット経由で通信できる設定であったりしたことが間違いだったのだ。

　真の問題は，コンピュータがうまく機能していないことにある。コンピュータ業界は，あらゆる人に「生きていくにはコンピュータが必要」と思い込ませると同時に，コンピュータを複雑にして，専門家以外には管理できないようにしている。

　私が自宅の暖房装置を修理しようと思えば，ありとあらゆる安全規制に違反してしまうだろう。私には暖房装置に対する経験がないし，正直なところ，私に教育を施そうとしても無駄だ。しかし，暖房装置は私が何も学習しなくても調子よく動く。温度の設定方法と，何か異常が発生したときに専門家を呼ぶ方法を知っているからだ。

　教育する代わりに罰を与えても意味はない。罰しながら何かを教えることは，子供や動物に適したごく基本的な教育方法に過ぎない（それに，専門家は子供というものをよく分かっていない）。技術的な失敗を犯した人を罰することは止めた方がよい。コンピュータ・メーカーに対して，安全なハードウエアとソフトウエアを販売するよう要求しよう。

　この記事はもともと「Information Security Magazine」誌の2006年4月号に掲載されたもので，Marcus Ranum氏との「問題指摘とそれに対する返答（point／counterpoint）」の後半部分に相当する。Marcus氏の記事は，以下のWebページに掲載されている。

＜http://www.ranum.com/security/computer_security/... ＞

◆オリジナル記事「Educating Users」
◆「CRYPTO-GRAM　September 15, 2006」
◆「CRYPTO-GRAM　September 15, 2006」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ

◆この記事は，Bruce Schneier氏の許可を得て，同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は，「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO（最高技術責任者）です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり，国内ではインテックと提携し，監視サービス「EINS/MSS+」を提供しています。