セキュリティの教育ネタ(1) 暗号①

これから不定期に、私が教育でよくつかっているネタについて書いてみたいと思います。
このようなことを書くと、「教育ネタがなくなるのでは・・・」などという心配もありますが、もったいぶっていても（いろんな意味で）仕方がないので・・・

さて、まずは「暗号」です。

「コンプリート・シャーロック・ホームズ 全訳版」の「踊る人形」を、暗号解読で使っています。

ここで出てくるのは、「頻度分析(Frequency analysis)」という手法です。
文字または文字列の出現頻度によって、暗号文を解読する方法です。

この「踊る人形」では、英語の暗号文をこの頻度分析によって解読したわけです。
英語では、一文字の場合は、e, t, a, o, i, n, ...の順に出現頻度が高いわけです。
そして、二文字の場合は、t-h, h-e, i-n, e-r, ... 、三文字の場合には、t-h-e, a-n-d, i-n-g, i-o-n, ... 、という具合で、これを暗号文と照らしていくわけですね。

＜参考＞
・「頻度分析 (暗号)」～Wikipedia

母校で講義が実現

早稲田大学の寄附講座「ナレッジマネジメント－国際競争力を高める情報セキュリティ戦略」で、10/30(金)に「セキュアな事業運営のための認証とアクセス管理」というタイトルで話してきます。

大学で講演や講義は何度もしておりますが、ついにというか、ようやくというか、母校での講義となりました。
（現在、講義資料を作成中です。もう少しで完成します）

とにかく、がんばります。

「取り方」から「使い方」へ

相変わらず、話す仕事と書く仕事ばかりしております。

その中でも多いのが資格の話なのですが、その傾向を（特に今年から）変えております。
今までは、資格の紹介や「取り方」という話が多かったのですが、現在はそのような内容の話はほぼしておりません。

そういう話は、「皆様、すでに飽き飽きなのかな・・・」というのもありますが、資格というものが「（取るまでではなく）取ってからが、むしろ重要」ということがかなり広まってきたという感じもしております。
つまり、取ってから、どう使っていくか、使い続けるために、どう維持していくか、ということ（「使い方」）が重要ですし、それによって何ができるようになるのか（期待される効果）、それこそ「資格の価値」だと思っています。

ちなみに使い方の例として挙げているのは、キャリアプラン（人材育成計画）を描く・実現する・・・、などです。

そういう話をしばらくはし続けると思います・・・

テキスト改訂×2

やっと4月になりました・・・
3月はいろいろと忙しかったです。来週からは少し落ち着くので、ホッとしております。

私が関わっているセキュリティ資格の2つのテキスト改訂が、この3月にほぼ終わりました。
どちらも夏にはお披露目になる予定です。
さらには新たな資格教育のテキスト作成にも近日着手します。

その際にはまた改めて、ここで紹介記事など書いてみたいと思います。

仕事納めが話し納め

（来週も出勤という方もいらっしゃると思いますが）私は本日が仕事納めです。
そして、同時に今年の話し納めになります。
つまり、仕事納めの日まで、講習なのです。（講師の鑑かな？）

ちなみに内容は「物理セキュリティ」です。
年末にピッタリのネタですね。

ちなみに、ブログの書き納めは、来週の予定です。

CompTIA「インストラクター・トレーナー スキルコンペ 2008」開催

「CompTIA Japan ITSC 2008（CompTIA日本支局 インストラクター・トレーナー スキルコンペ 2008）」が開催されてます。

講師（インストラクター・トレーナー）としてのスキルを試してみたい方、自信のある方もない方も参加されてはいかがでしょうか。

●参加概要
対象者：高等教育機関及び社会人対象の教育・トレーニングを担当するインストラクター、トレーナー
講習内容：技術教育、ヒューマンスキル教育、マネジメント教育
評価対象：講習内容ではなく、講習スキル（講習の進め方、受講者とのやり取りなど）のみが評価対象
参加方法：講習を収録したビデオもしくはDVDと提出ドキュメントフォームを郵送
※詳細については下記「参加要項」をご確認ください。

各種書類については、こちらからダウンロードしていただけます。
※「提出ドキュメントフォーム」：ビデオ/DVDと共に提出が必要です。
※「コンピテンス評価ガイド」：評価の基準となる項目が明記されています。
参加費用：無料　（ビデオもしくはDVDの郵送料は自己負担）
提出期間：2008年9月16日（火）～12月26日（金）
郵送先：CompTIA日本支局　CompTIA Japan ITSC 2008事務局宛
選考：CompTIA CTT+ VBT採点委員による採点と選考
発表：「CompTIA人材育成サミット2009」（2009年1月予定）
CompTIA日本支局Webサイト
表彰：
　Gold 1名（表彰状、盾、副賞5万円）
　Silver 2名（表彰状、盾、副賞2万円）
　Bronze　3～10名程度（表彰状）

ユーザーへの教育(3)

今回は、ユーザーへの注意喚起があったので、そちらから。

IPAのHP「【注意喚起】ワンクリック不正請求に関する相談急増！」からです。

ここでは「パソコン利用者にとっての対策は、まずは手口を知ることから！」とあります。
確かに「手口」を理解してもらうことは重要です。
その他には、敵の「動機」や「目的」、これも併せて理解してもらうことです。

そのうえで、「○○○をする」という次のステップが必要になる、というのが私の考えなのですが、そこまでのユーザー教育をしていない、できないということが多いようです。

「手口の理解」だけで教育が終わってしまうということは、十分な理解があっても対策が「パターンマッチング」で終わってしまうことがほとんどだからです。そうなると、応用が利きません。このような、手を変え品を変えの詐欺行為を含め、新たな脅威には効果がないことになります。

ユーザーへの教育(2)

昨日の記事の続きです。

「判断や行動ができるようにする」というためには、前提条件があると考えています。
まずは、判断や行動のための基準や尺度が必要ということになります。

それから、情報セキュリティのために必要な判断や行動はすべての人が同じとは限りません。
それぞれの人の役割や責任、権限によって異なるはずです。まずはこれらが明確にされ、認知されていること、これが重要です。
そのうえで教育をされているか否か、それによっての効果は全く違います。

ユーザーへの教育(1)

この頃、ユーザーへのセキュリティ教育について聞かれたり、話したりする機会が多くなっています。
皆さん、いろいろ苦労されているようですね。
先週も、ユーザー教育系の記事が多かったので、せっかくですから何回かにわけて私なりに意見など書いてみます。

そこで、話すことで最も多いのが「判断や行動ができるように、という配慮をする」ということです。
（ユーザーへの教育に限ったことではありませんが）単なる知識のインプットになってしまっている場合が多いということです。
実際に、よく「覚えておいてください」とか「知っておいてください」という話し方がされています。
この場合、本当に「覚えておけばよい」、「知っておけばよい」という意味で話させていることも、そうでないことも両方あるようですが、単なる知識のインプットで、そのあとの内容がないと結果的には同じことになってしまいます。

「知識のインプットだけで、何かできるようになる」という人間はそう多くありませんし、教える側はそれに期待したり、そうなるものだと誤解してはいけません。
それから「覚えておけばよい」、「知っておけばよい」というような知識があるとしたら、それは役に立つ知識ではないということです。

話し納め

本当の仕事納めはまだだけど、今日は講師としての仕事納め、つまり「話し納め」です。
とにかく、最近は話すのと書く(打つ)仕事が多くて…
（来年も、そうでしょうけど）

ところで、原稿書きとしての仕事納め、つまり「書き(打ち)納め」はというと…
12月30日かな。