2014年5月27日火曜日

悪役レスラーとしてのNLP(神経言語プログラミング)



 日常生活にSNS などのソーシャル・ネットワークが空気や水のように浸透しています。

 つまり、個人の情報にこれほど容易にアクセスできる時代はかつでないと言ってもよいでしょう。

 ソーシャル・ネットワークの時代に気をつけなければいけないのは、スバリ「ソーシャル・エンジニアリング」です。

 自分に実害はなくても、友人や友人の家族の情報をついうっかり第三者に提供してしまっている、ということは誰にでも起こりえることです。また、人の良心を逆手に取られて根拠のないデマを拡散したり、良かれと思って犯罪的行為の片棒を担いてしてしまっているなんてことも・・・

 そのようなわけで今ほど個々人に「ソーシャル・エンジニアリング」に対するリテラシーの向上が求められている時代はないのでしょう。

 しかし、これだけではテーマの設定が漠然とし過ぎています。

 その意味では心理的操作を使った「ソーシャル・エンジニアリング」について、NLP(神経言語プログラミング)に悪役レスラーになってもらって、この悪役レスラーにどのように打ち勝つのか?と考えて対策を考えると非常に具体的になるので、これはこれで一つのやり方だと思えるのですよねぇ(笑)。
 

悪役レスラーとしてのNLP(神経言語プログラミング)

 情報システムの仕事に携わっていらっしゃる方は「ソーシャル・エンジニアリング」というコトバを耳にしたことがあるでしょう。もちろん、そうでない方も、この定義を聞けばひとつや2つはぴんとくることがあるでしょう。

それで、今日は、この「ソーシャル・エンジニアリング」がテーマです。

 NPO日本ネットワークセキュリティ協会によれば「ソーシャル・エンジニアリング」が以下のように定義されています。[1]



 ネットワークシステムへの不正侵入を達成するために、コンピュータの技術やネットワークの技術を利用するのではなく、侵入に必要なID、パスワードや、企業の機密情報などを、物理的手段(あるいは心理的な手段)によって獲得する行為



 それで、普通に生活していれば、「自分にはソーシャル・エンジニアリングなんて関係がない」・・・・と思いたいわけですが・・・・

 しかし、個人情報やクレジット・カード番号などが入った情報機器が普及し、ソーシャル・ネットワークのシステムを普通に活用している状況を考えると、個人であれ、企業であれ、「ソーシャル・エンジニアリング」に対する「リテラシーの向上」という名前の「対策」の必要性がこれほど高まっている時代はないと考えてよいのでしょう。

 自分自身に実害はなくても、友人やその家族の情報を第三者にうっかり提供していたり、あるいは、メディアの情報操作やステマにうっかり騙されたり・・・・と上げていけばそれこそきりがなくなってしまいます。

 もちろん、必要以上に人を疑って懐疑的な生活をしても、人生あまり楽しくないものになってしまうということにはなるのでしょう・・・・

 それで、「ソーシャル・エンジニアリング」とは何ぞや?また典型的な手口に引っかからないようにするには具体的にどうしたらよいのか?という問いを立ててみるわけですが。

 この問の答えとなる「ソーシャル・エンジニアリング」を学習するためにお勧めなのがサイト「www.social-engineering.org[1]とこのサイトを編集した翻訳本「ソーシャル・エンジニアリング」[2]です。もっとも、日本語版は翻訳に多少難ありなので英語が読めるのだったら英語で読むことをお勧めします・・・・



 それで、この本で面白いなと思ったのはNLP(神経言語プログラミング)の話題が心理的なソーシャル・エンジニアリングの技法として取り上げられて、きっちり悪役レスラーを演じていることです。NLPは明示的な理論は存在しないのですが、卓越性を発揮している人の認知モデルとしては体系立てられているところがあるので、ある意味、騙しのテクニックを説明するフレームワークや技法としても機能するといったところなのでしょう。(笑)

 確かに、NLPと聞くと、創始者のバンドラーがあちこちでやらかしているので[3]欧米人からすると、「ちょっと強くて悪そう」というイメージで使われているように思うわけですが・・・・認知心理学でも一般意味論でも説明できる「ソーシャル・エンジニアリング」を敢えてNLPで説明しているこの微妙な行間を楽しむというのも面白いところなのでしょう。

 それで、上の本とは関係ないのですが Youtubeに「The Science of Social Engineering: NLP, Hypnosis and the science of persuasion(ソーシャル・エンジニアリングの科学:NLP、催眠と説得の科学)」という映像がアップロードされているのですが、Ph.Dを持った人が認知科学の知見でもって面白おかしく解説しているのでそれなりに楽しめると思います。



 それで、「ソーシャル・エンジニアリング」は、人の認知の隙間をつくようなある意味建設的に騙しのテクニックを見つけ、さらにその上を行く対策を考えというようなある意味際限がないようなところがあります。

 しかし、認識論に還元して考えると「ソーシャル・エンジニアリング」の道具は単なる道具であり、使う状況と目的によって毒にも薬にもなるところが難しいのでしょう。


 例えば、営業が顧客の情報をあれこれ聞き出して自社の製品やサービスを販売するために使うのはどの程度までだったら許されるのか?

 みたいな非常に微妙な問題にもなってくるわけですが、顧客がシラフの状態で顧客の同意をとって「ソーシャル・エンジニアリング」でも使われる道具を顧客の真のニーズを知ってよい提案して顧客をよい意味でびっくりさせるために公明正大に使うのであれば何ら問題ないようにも思えてくるわけですけれども・・・・・・このあたりの話題は、中々、興味が尽きないところではあるわけです。

 それで、個人的には「ソーシャル・エンジニアリング」の研究はある意味「ダマされないための、元詐欺師が教える詐欺のテクニック」的なある意味一歩間違うと暗黒面に落ちてしまうようなところがあるわけですが、このあたりはやはり認知科学なりの科学的知見を命綱としてこういったところを冷静に眺めるようにしないと危険なのだろうなぁ・・・とも思っていたわけです。
 
文献

[3]http://www.american-buddha.com/bandler.method.htm

記事の内容の正誤について、執筆者は一切保証いたしません。また、本書の内容、エクソサイズなどを実行した結果被った被害などについて著者は一切責任を負わないこととします。本ニュースレターの内容は、以下クリエイティブ・コモンズ・ライセンスに従うものとします。但し、引用元の著作権は引用元に所属します。ご意見、ご感想は次へ tritune'`@''gmail.com https://www.facebook.com/okirakusoken






0 件のコメント:

コメントを投稿