高木さんがこのところセキュリティリテラシについて書いている。頷くところあり、同意しかねるところあり。
セキュリティリテラシ教育が重要だという主旨には全面賛成。セキュリティリテラシが含まれていない情報リテラシ教育なんて存在自体が害悪といっていい。ブレーキの踏み方を教えずに車の運転を教えるようなもので、人をわざわざ無用の危険に引きずりこむ行為だ。多少なりとも判っている人はこのことを理解していると思う。ところが悲しいかな、その「判ってる人」はあまりにも少ない。「使えればいい、問題は起きたときに考える」という楽天家が教える側にあまりに多い。残念ながらセキュリティリテラシ教育の必要性の前に、情報リテラシ教育を行う人の意識改革が必要だろう。
その一方で、簡単なルールを作りそれを守らせるようなスタイルのセキュリティリテラシ教育ですら、簡単に奏効するとは思えない。残念ながら人は、目的の達成に必須ではない手続きをわざわざ踏もうとはしない。それがどんなに簡単であっても。どうしても踏ませたければかなりの強制力が必要だと思う。それはシステムの構成による強制力から、法による強制までいろいろな方向性があるだろう。強制でなく自発的に行動させるには、その行動の必要性を本当に理解させる必要がある。例えばURLにおけるホスト部の確認のように、確かに難しくはないことですら、それを常に励行できる人は「そうしなかった場合の脅威」が本当に理解でき実感できている人だけだろう。
もちろん、多くのWebアプリケーションがそういう最低限のセキュリティリテラシで危険を回避できるつくりにすらなっていないことは大問題で、現状のユーザのセキュリティリテラシの低さは免罪符にはなり得ない。だが、多くのWebアプリケーションが例え「正しく」作られたとしても結局は事故を十分に抑えきれないと想像される。それなら、「正しくWebアプリケーションを作らせ、かつそれを前提としたセキュリティリテラシ向上教育を十分行う」のと、「現状のWebアプリケーションを捨ててもっとセキュアなネットアプリケーションフレームワークを構築し、それでも漏れる部分をリテラシ向上で補う」のとどちらが近道だろうかと思ってしまうのだ。