セキュリティ意識が向上しないのは専門用語のせい?

 セキュリティ意識が向上しないのは専門用語のせいかという議論がある。海外の記事での話ではあるが、多分にセキュリティの専門家側から見た話であるように思える。そもそも「意識が低い」とはどういうレベルでの話か、専門用語といっても何が目的の言葉にもよるのではないだろうか。

セキュリティ意識が向上しないのは「ややこしい専門用語」のせい?(ITmedia)

 「◯◯はセキュリティに対する意識が低い」というとき、◯◯は「国」であったり「組織」であったり、「一般ユーザ」を指したりするケースがある。「国」といった場合にはウイルスに感染している規模だったり、サイバー攻撃の発信源になっている頻度だったりする。「組織」の場合では情報漏えいだったり社会的信用を落とすようなトラブルを起こしたようなケースがある。「一般ユーザ」といった場合には、もはや文化とか国民性まで関係するだろう。国の経済力とか貧困も関係するかもしれない。いずれも現在では、セキュリティといっても範囲が広すぎるので一概には言えない。セキュリティを「技術」だけの話だけで捉えようとすること自体、もはや時代遅れだといえるだろう。


 セキュリティの専門家と啓蒙が必要な一般ユーザをゴチャ混ぜに同じレベルで捉えようとするのも間違っているだろう。セキュリティというものもネットワークのしくみと似て、レイヤーで捉えるべきである。下位のレイヤーはファイアウォールだとかDMZだとか技術者が関わる部分である。中間のレイヤーがセキュリティポリシーだとか規則とかであり、最上位がユーザのふるまい、人間の意識、無意識の行動が関わる部分である。すなわち専門家と一般ユーザはもともとセキュリティのレイヤーが異なるのである。技術的なレイヤーの部分は時代とともに高度化しているのは当然であるが、一般ユーザが特別に知る必要はない部分である。それと一般ユーザの行動の部分は直接は連動しないし、連動させるべきではないだろう。したがって一般ユーザが専門用語が理解できないからセキュリティ意識が向上しない、というのは的外れの議論であろう。自動車の一般のドライバー全員が自動車のメカニックの専門家でなくても安全運転できるように、ネットユーザがみなプロバイダのネット技術者のような知識と技術を持っている必要はない。


 一般ユーザのセキュリティのレイヤーが啓蒙のレベルで進んでいないのだとしたら、そのレイヤーでの技術とか指導できる人材や体制がまだ貧弱だということだろう。教育という側面でいえば人材不足だといえるのかもしれない。小中学生からネットを利用している時代になっているとはいえ、では指導できる人材となると一般ユーザと変わらない程度だといえるだろう。ましてや社会全体となると、生涯教育ではないが、啓蒙できる人材は圧倒的に少ない。何しろ若い頃はネットなどなかった時代の世代が、まだまだ多いからである。これは時間がかかる話ではある。しかしネットの進歩とか変化が速いことが問題なのだろう。何年か前の常識が現在では常識ではなくなっているどころか、逆になっているケースさえある。昔は「Webを見ただけではウイルスに感染することはない」とされていたが、Gumblarのように必ずしもその常識が通用しなくなっていたりする。ならばといって、一般ユーザにGumblarの感染のしくみを専門的に説明しようとしても仕方がない。このレイヤーで言えることは、戸締まりをしっかりすること(ウイルス対策)と「君子危うきに近寄らず」ということの徹底しかないだろう。しかしいくら安全運転を心がけても、不幸にして交通事故に遭うことはないとはいえない。万が一のことにも備えておく危機管理の意識を持つことも必要にはなる。つまるところ、それはグローバル化、スピード化しているとはいえ、人間社会そのもののことなのだということに気が付くことであると思う。