2012年1月26日木曜日

ソーシャル・エンジニアリングとシステム・アーキタイプ



落語の「時そば/時うどん」ってソーシャル・エンジニアリングの代表的な事例ですねぇ。 逆にこれを防ぐにはどうしたら良いかと考えると色々面白いことが分かってきますねぇ。

独り言


今日は、「ソーシャル・エンジニアリングとシステム・アーキタイプ」と題して少し書いておきましょう。

お宝をどのように守る?

今日は、ソーシャル・エンジニアリングの話題について少し書いておきましょう。

よくITの世界ではシステムを外的な脅威から守る、などといったりしますが、一般にセキュリティを考える場合には、1) 物理的 2) 論理的 3) ソーシャルの3つの視点から十分に考慮する必要があります。

例えば、札束をどこかに保管しておく場合、ほとんどの人は金庫のように物理的に守られた空間に札束を入れておくでしょう。イメージ的にはクマヒラの金庫の世界なのですが、物理的に出入り口が制約された場所でこの出入り口を見張っていればひとまず脅威からお宝が守れると考えるのが物理的なセキュリティです。

次に論理的なセキュリティ、これはインターネットにつながったシステムが外部からの侵入を許してしまう場合があるわけですが、一般的には外部に接続されているネットワークの出入り口に関所をつくりファイアウォールと呼ばれる門番にあたる機器を設置して不正な侵入者がいないかどうかを検知し必要に応じて遮断するというのが論理的なセキュリティの基本的な考え方です。 もちろんデータ自身を暗号化したり、パスワードをかけたりという考え方もあります。

それで、三番目はソーシャル・エンジニアリング[1]と呼ばれる分野です、実はこの分野が一番厄介なのですが、上の物理的、論理的要因に加え、人の認識が相互作用して起こる騙しの手口をソーシャル・エンジニアリングと呼んでいます。

この例としては、落語の「時そば/時うどん」から始まって、振り込め詐欺のようなものを含むわけですが、上でも述べたように、物理的、論理的要因に加え、人の認識が相互作用しており、必ず人の認識の盲点をつくような形式で行われ、泥棒と警察のイタチごっこのような面があるため非対策が困難な面があります。 

もう少しマクロなパターンに着目する

それで、ソーシャル・エンジニアに関して個人的に非常に面白いなと思ったのが、以下のエッセーです。


それで、上のエッセーの何が面白いかというと、外的世界と人の認識の相互作用のパターンが、MITのピーター・センゲの提唱しているシステム・アーキタイプのパターンで説明してあるところというわけです。 


ソーシャル・エンジニアリングをこのシステム・アーキタイプで見ると、シャーロック・ホームズの名作「赤ひげ同盟」[2]のようなパターンが見えてくることになると思ってきます。


1890年のある日、ホームズの住むベイカー街221Bにジェイベズ・ウィルソンという燃えるような赤髪の男が尋ねてくる。ウィルソンは質屋の経営者だったが、ある日、バイト員のヴィンセント・スポールディングから簡単な作業で高額な収入を得ることができるというひどく、うまい話を聞かされた。立派な赤毛の人間のみで組まれた「赤毛組合」という互助組織によるもので、仕事の内容は指定された事務所で百科事典を数時間書き写すだけだという。ウィルソンはこれをまたとない幸運だと考えて引き受けるが、組合は数週間後に事務所を突如閉鎖する。不審に思い、同じ「赤毛組合」の仕事仲間ダンカン・ロスの名前を頼りに調査を開始するが、その名前を知る者は一人もいなかった。ウィルソンはこの謎のアルバイトの真相について、ホームズに念入りな捜査を依頼したいと言う。ホームズは奇妙な事件に興味を持ち、喜んで仕事を引き受けた。


それで、この物語のオチは、ネタバレになりますが、ウィルソンを外出させた隙に悪党どもがこの質屋の地下から銀行へトンネルを掘っていた。

ウィルソンはこれに気付かなかったが、シャーロック・ホームズはこれに気づいたという話なのですが、この話の面白さは、ウィルソンが背景にある大きなパターンに気付かなかったことに対して、ホームズは事実を積み重ねることで普段は決して意識されることのない大きなパターンに気づいたというところにあるのではないかと思ってきます。

それで、前述のシステム・アーキタイプとソーシャル・エンジニアリングについて書かれているエッセーの面白さはここにあるわけで、目の前にあるちょっとした事実から、普段は意識していないより大きなマクロのパターンを観察するとどうなるのでしょうか?と問題を提起しているところの面白さに思えてきます。

 もちろん、システム・アーキタイプはソーシャル・エンジニリングだけではなく一般的な問題解決に応用することも可能だと思います。

 例えば、アインシュタインも「その問題が起こっているのと同じ意識レベルでは問題は解決できない」と言っています。 これは、あるレベルのシステムで問題が起こっていた場合、現状をその関係性を含めてシステムとして把握した後、そのシステムのより上位の視点から別のパターンを見つけるようなことを行わないと、その問題は永久に解決しない、ということになると思います。

それで、このような時にも、一度、目の前で起こっているミクロの問題についてより大きなマクロのパターンの中の一部として見るのは非常に有効ではないかと思ってきます。

文献
[1] http://ja.wikipedia.org/wiki/ソーシャル・エンジニアリング
記事の内容の正誤について、執筆者は一切保証いたしません。また、本書の内容、エクソサイズなどを実行した結果被った被害などについて著者は一切責任を負わないこととします。本ニュースレターの内容は、以下クリエイティブ・コモンズ・ライセンスに従うものとします。但し、引用元の著作権は引用元に所属します。ご意見、ご感想は次へ tritune'`@''gmail.com

0 件のコメント:

コメントを投稿