PR

 前回までのウイルス対策シリーズでは、ちょっと編集企画会議のようになってしまいました。怒られる前に内輪話から離れようと思います。

 年度の後半って出張がとにかく多いのですが、わたしは出張がそれほど苦ではありません。たしかに面倒や不自由も多いのですが、電車や飛行機での移動中とかは実は仕事がけっこうはかどるし、土地土地の美味いものは堪能できるし、メリットも多いです。
 なんでそんなに出張があるのかと言えば、連載第2回でお話したようなセキュリティキャンプキャラバンとか、あるいは所属している独立行政法人情報処理推進機構(IPA)の企業向けセミナーでしゃべったり、これまた所属している日本ネットワークセキュリティ協会(JNSA)のインターネット安全教室でしゃべったり、企業から呼ばれて行ったり、いろいろ声を掛けていただけているからです。ありがたいことです。

 必然的にそれなりの場数を踏むことになるわけですが、最近「デモンストレーションはやはり有効である」ということをつくづく感じていたりします。何を今さら、という感じかも知れませんけどね。
 言葉を連ねて説明するよりも、「実際に見せる」というのが効くなあ、というのは、先日四国の高松で小学生を相手にしたときにことさら感じました。何しろ相手は小学生なので、そもそもどんなアプローチで行くべきなのか、話をいただいてからけっこう悩みました。そもそも、「自分のモノ」「他人のモノ」という区別がきちんとつけられるのか、つけられたとして、それを「情報」という抽象的なものに当てはめて実感することができるのか……そのあたりでいつも思考が堂々巡りになってしまい、なかなか悩ましいところでした。

 でもあるとき「とにかくヤツラにゃ自らやらせるしかないかも」と悟りました。かれらは一般の人たちとは逆に、パソコンの操作は問題無いだろうし、やらせ方を間違えなければ勝手に「体験」してくれるだろう。……そう思ってからは、あとは彼らに簡単には見破られないようなトリックを考えることが必要なだけでしたので、準備は急に楽になりました。ワンクリック詐欺のネタやブラウザクラッシャーっぽいネタを用意して、クリックすれば引っかかるようにしておけば良い、などなど、そういう方面のトリックを考えるのは割と得意(笑)なので、あっという間にネタは用意できちゃいました。
 実際に試してみると案の定、こちらが説明するまでもなく勝手にがんがんクリックして進み、まんまと引っかかってくれました(笑)。「せんせー、これ何て言ってるのー?」「5万円払えって言ってるよ」「ええーー(顔面蒼白)」「5万円も持ってないーー!!」あとは阿鼻叫喚(笑)。いくらパソコンに慣れていると言っても、「トリック」には慣れていなかったようです(下の画面)。

 そこで、はたと思いついたわけです。わたしにとってはある意味めちゃ簡単なことなんだけど、もしかして引っかかる側にとっては「魔法」に見えたりするんじゃないだろうか、と。

 これまでにもさまざまなセミナーや講習でデモを行ってきましたが、その相手がいわば「素人」(=非専門家)に近くなればなるほどに、デモの内容はまるで「魔法」のように見えるらしいのです。難しすぎるデモはむしろ何もわからないものですが、適度に理解できるものを簡単にやってみせると、それだけで十分に魔法っぽいらしいですね。例えば、拡張子偽装のよくある実例をいくつか示すだけでも、それほど詳しくない人からは「そんなことなんでできるの?」という反応が返ってきたりします。
 SF作家のクラークは「充分に発達した科学技術は、魔法と見分けが付かない」と言っていますが(第3法則)、セキュリティに関わるさまざまなトリックが「魔法」だというのが言い過ぎだとしても、少なくとも「奇術」「マジック」というレベルにはあるような気がします。
 で、専門家ではない人たちに情報セキュリティに関わるさまざまなリスク、脅威を説くことは、突き詰めると「マジックの種明かし」である、と思うのです。

 つまり「マジックならまずやって見せて、脅かしてから種明かし」というのが最もインパクトがあるのでは、ということですね。

 これはわれわれ自身、反省しなければいけない点が多々あるのですが、脅威について説くとき、「模倣を招く」とか「いたずらに仕組みを明らかにすることは何となく好ましくない」という漠然とした危惧から、具体的な説明を避けたりすることがあります。モノがセキュリティなだけに特にそういう傾向はあるようですね。しかし、抽象的な表現や、「結果としてこうなるから危ないよ」みたいな常套句で納得してもらおうとしても、なかなか実感していただけないのではないでしょうか。実感しないから繰り返すし、あまり気をつけようと思わないような気がします。

 何を説くにしてもまず「実感」していただくことが、啓発活動においては重要ではないでしょうか。

 そしてわれわれ自身が自戒すべきなのは、魔法の種を明かすときに、ついついクリンゴン語を使ってしまうことですね(笑)。専門家ならクリンゴン語でも通じますが、われわれが説明しなければならないのは専門家ではありません。可能な限り一般的な日本語で説明することを心がけたいものです。