RSA CONFERENCE 2013レポート第6弾。

Managing Risk with Psychology Instead of Brute Force
Andy Ellis, Akamai CSO
興味で相手を思い通りに動かすのは簡単である。例えば相手が猫なら、レーザーポインターを使うだけで、いっぱいいる猫を一カ所に集めることができる。興味で行動しているからである。
恐怖で相手を思い通りに動かすのは難しい。例えばたくさんのトカゲがいるところで大きな音を出せば、みんな散り散りになって隠れてしまう。恐怖で行動しているからである。
一方、人間は、恐怖に慣れてしまい、その恐怖が減ると、逆に恐怖を増加させようとすることもある。シカゴ大学のペルツマン教授が、シートベルトを義務化したことで、歩行者が自動車に轢かれて死亡する事故が増えたと発表した。シートベルトをしたことで、運転者がリスクが低いと認識し、無謀な運転をしたからだという。車が安全になれば、余計にスピードを出してリスクを増加させてしまう。
自動車を安全に運転させる方法が一つある。ハンドルに鋭利な杭をつければ良い。運転者はリスクを認識して、無謀な運転をしなくなるだろう。

セキュリティマネジャーとして会社の中でうまくやっていくには、相手が何に興味を持っているかを認識しなければならない。ビジネスオーナーはP/Lを、CEOは儲かるかどうかを、営業は自分のノルマを達成できるかを、CFOはリソースの最適配置を、社員は会社が続くかを気にしている。彼らが興味を持っているものを理解し、彼らの言葉で会話する。セキュリティ用語を使っても理解して貰えない。リスクを説明して予算を取ろうとしても、怖がらせるだけではだんだん信じて貰えなくなる。
トカゲに思った方向に動いて貰うには、隠れる場所を作って、ちょっと怖がらせれば良い。つまり、リスクと改善策を併せて提示して、それで安全になったと報告してあげれば思った方向に進む。ずっと怖がらせていると慣れてしまうので、時々やるということが大事である。これを少しずつ繰り返して実際のリスクを少しずつ低減させていく。一気にリスクを低減させようと考えてはいけない。
製品のセキュリティが十分であるかについて確認を求められたセキュリティマネージャは、YesともNoとも言ってはいけない。Yesと言ったらその製品で問題が発生した場合に責任を負わせられるし、Noと言うことは会社のビジネスを止めることになる。セキュリティマネージャがすることは、製品の責任者に自分で判断させることである。脅威設定やリスク分析の方法をサポートして、自ら安全性の判断を実行させる。セキュリティマネージャに指摘されたリスクはすぐ忘れてしまうが、自分で分析した結果は覚えていて、次の製品を作るときに対応してくれるものである。
相手が何に興味を持っているかを理解し、その言葉で興味を持たせながら、時折、隠れ場所を用意してから相手を恐怖で動かす。CatとLizard。相手をトカゲに例えるのには若干抵抗があるが、覚えやすい。
小熊
Commentaires