どうも、のみぞうと申します。普段は某SaaS企業のセキュリティを担当してます(今ちょっと家庭の事情でお休み中ですが)
この記事は情報セキュリティアドベントカレンダーの13日目の記事です。最近アウトプットしてないなーと気づいた&昨日カレンダーみたらいい感じに空きがあった、のでこの機会に今年取り組んできたことについて書きたいと思います。
ここに書いたことは完全に個人の見解と想いであり所属組織はあんまり関係ありません。
お客様のセキュリティ意識を高める活動をしたい
私が今年密かに目指してた目標の一つに「お客様のセキュリティ意識を高める」ってのがあります。達成できたとは言ってない。
弊社サービスをご利用いただいているお客様は、ごくごく普通のサイバーセキュリティに一切興味ない(むしろネガティブなイメージを持っている)方が多いです。
もちろんサービス提供側として防げるリスクはあるし、技術的にも運用的にもできる限りの努力はするわけですが。今はまだどうしても利用者に委ねないといけない部分があり(パスワード管理とかさ…)どんなに安全な車を作っても、無茶苦茶な運転したらそりゃ危険なわけですよ。そんなわけでお客様にも協力を求める必要があり、その下地としてセキュリティ意識を高めるというか、自分ごととして捉えてほしいなって思ってました。
余談:要するに、一般企業でもよくやってそうないわゆる啓蒙活動です。でも啓蒙っていうと上から目線の雰囲気があるので言えない。むしろ意識高めるって表現もまあまあ偉そうなので恐縮しながら書いています…良い表現があったら教えて下さい。
2週間に1回メルマガ書いてた
具体的には、2週間に1回くらいお客様向けのメルマガで記事を書かせていただいてました。
続きは次号!みたいにすると読みにくいので連載ではなく、コーナー化してコンスタントに接点を持った形です。セキュリティというテーマの特性上、割と時事ネタに事欠かないので、その時節で話題になっている物事を取り扱っていました。
発行数とかは秘密ですが、他社と比較してもかなり開封率が高いし(私は元マーケティング担当です)結構すごいんですよ弊社のメルマガ。他の話題もたくさんあるなかで、セキュリティという圧倒的に引きの弱いテーマを扱うことを許してもらって感謝しています。
普通の人に興味を持ってもらうための記事を書く
とはいえ、普通の人はセキュリティとかマジで興味ないし何なら自分は関係ないと思ってるし面倒くさいから勘弁してくれって思ってると思います。ちなみにこのブログに興味を持って読んでるようなあなたは既に本記事で想定している普通の人ではありません(いい意味で)
一般的にはまだまだ縁遠い分野だと思うので、そういう方にも興味を持ってもらえるように話題を工夫していました。ちなみに想定読者は自分の母(※60代/スマホがギリギリ使えるレベル)です。
詳細な記事は載せませんが、こんなテーマで書きましたって例を挙げます。
身近なネタから繋げるパターンの記事
潜入!フィッシングサイト
たまたまAmazonのフィッシングサイトを見つけて通報したので、フィッシングサイトが具体的にどういう動きをするのか、見分けるの無理ですよねー。みたいな記事を書きました。
似たような話はここに書いてます
SNSからの本人特定術(OSINT)
SNSというのはいまや誰にとってもかなり身近なテーマですが、架空のSNS画面から(流石に本物を使うことは躊躇われため…)何気ない投稿のなかからでも割といろんな情報が読み取れるんだよって話と、じゃあどのようにSNSを使うべきかって話を書きました。
ネット詐欺師がよく使う証拠画面を捏造する方法
お客様から問い合わせがあったので、スクリーンショットは簡単に捏造できるよって記事を書きました。具体的には、開発者ツールを使ってオンラインバンキングの残高を5000兆円にしてみた、みたいなものです。
金額が極端なので、ばかばかしい雰囲気が漂いますが。SNSとかでは結構スクショって証拠として信用されがちですよね。捏造が容易だと知っているだけで、騙される可能性が減るのではないかと考えて書きました。
意識していたわけではないですが、「やってみた」系が多いですね。身近な話題をリアルに取り扱おうとするとどうしてもそうなりがち(安易)
流行ってるものに乗っかるパターンの記事
「鬼滅の刃」と「エヴァンゲリオン」パスワードにするならどっちがいい?
当時、映画が流行っていたので無理矢理乗っかりました。
セキュリティ界隈のみなさんにはおなじみHave I Been Pwnedの使い方を交えて、もし選ぶとしたら「鬼滅の刃(kimetsunoyaiba)」と「エヴァンゲリオン(evangelion)」のどっちがパスワードとして強固であるかという話をしました。
私はパスワードよりはパスフレーズの方が安全だと思っているので、どちらかといえば単語だけの「エヴァンゲリオン」より助詞を含めた日本語である「鬼滅の刃」の方が強固なパスワードと言えるかなと思っています(どちらかといえばってだけで絶対ではないわけですが)攻めすぎていたのかあんまり評判がよくなかった記憶。面白いと思ったんだけどなあ。
パスワードの良さそうな作り方はこの辺でも書いてます
利用者が求めるのは哲学か宗教か
ちょっと脱線しますが。そんなこんなで普通の人にセキュリティを伝えるために試行錯誤をしていたなかで最近、全然関係ない点と点がつながった話をします。
ゆる言語学ラジオっていうYoutubeチャンネルで
大学で第二言語習得論を研究されている先生は「で、結局英語の効率的な教え方は何?」って聞かれがちだけど、伝えたいニュアンスがすごく微妙。伝えたいことを伝えるのは難しい。
https://www.youtube.com/watch?v=sSvxP5cUASM&t=2152s
って話をされていて、セキュリティも全く一緒だなと思うなどしました。(関係ないけどゆる言語学ラジオめっちゃ面白いのでみんな見よう)コネクティングザドッツみがあるな~
私のような活動をしていると、利用者に「で、結局セキュリティどうすればいいの?(答えだけ教えて)」っ言われることが割とあるあるなのですが(何なら「こっちは本業が忙しいんだから早くしろ」みたいな圧もついてくる)
セキュリティにはそもそも答えがないことが多いし、たまに何かあったとしてもそのまま受け取ると正解ではなくなってしまうことがあるから、その根っこにある哲学を伝えないといけない気がしています。ただ一方で、根っこの部分を学び続けるのはとても大変なことなので、多くの利用者は信じさえすれば良い宗教を求めているのでは?(セキュリティで言うところのソリューションとか運用ルールとかゼロトラストとか…)っていう構造がめちゃ似ているなと思いました。
これほんとにブログで書くときりがない話なのでこの辺にしますが…、ちょっとでもバランス取れるといいですよね…難しいですけど…精進が足りない。
今後の課題
セキュリティ意識を高めるって言って始まってるのに、それを定量的に測定できていないのは完全に私の見切り発車だったなと思って反省しています。何事も効果測定は基本であるよ…。来年もやるならこの辺は対策を考えたい。
まとめ
答えのない話を長々と書いてしまって失礼しました。こういう話、実は社内でもあんまりしたことないので、ちゃんと整理できてよかったです。機会をいただいてありがとうございました。
明日は@lrm_ishihamaさんの記事です。楽しみですね!