どんな製品なのか

「かるた」と「いろはかるた」を並べて写真とってみた。どちらも読み札の解説小冊子とおまけのシールが付いている。



札の作りはあまり変わらないが、「いろはかるた」は裏面に「キーワード」が書かれている。



ケースは「かるた」の方が紙の質がいい。定価が同じ税込1800円であることを考えると、「いろはかるた」の方が制作にコストがかかったと想像できる。
シールは「かるた」の方は「手帳やカレンダーに貼ってお使いください」とあり、実用性を感じさせるものとなっている。でも「パスワード変更」なんてほとんど意味ねーのより、「アップデート」があった方がよかった。「いろはかるた」のシールは目的不明。「侵入禁止」なんてお札みたいなのやら、「ウイルス上等」なんて珍走団の煽りみたいのやら、「トロイ」、「ワーム」、「フィッシング」、「スパム」なんて使い場所に困るものやら……。


監修は、「かるた」が情報セキュリティ大学院大学の板倉先生、「いろはかるた」が慶應義塾大学の武田先生である。「いろはかるた」は構成を伊藤ガビン、倉田タカシの両氏がやっている他、制作に外部スタッフを入れている模様。尚、板倉先生の監修は解説冊子のみのようで、武田先生は制作全般を監修しているように思える*1。

商品形態と流通の問題

「かるた」を買ったのは発売されてから間もない時期での専門書が豊富な大き目の書店だったと記憶している(場所失念)。新たに「いろはかるた」が発売されてから大分時間がたってから秋葉原、神保町、新宿、そして何故か新潟*2の書店を10店舗ほど探したが、見つからなかった。そもそもかるたって本なのかという素朴な疑問が湧くが、大きな書店では児童向け知育玩具の一つとして普通のかるたは扱っている。普通のかるたのような「よいこのみんな」のための玩具なら書店だけでなく玩具店でも扱ってくれるだろうが、この2種類の製品は、「ええ年こいた悪知恵てんこもりのおっさん達」も対象となるはずなので、玩具店はもちろん普通のかるたが置いてあるコーナーでは見つからない。翔泳社ショップのページにもアマゾンのページにもISBNコードは出ていなかったが、ジュンク堂の書籍検索で調べて見ると、「いろはかるた」には一応ISBNコードが割り振られていた(978-86118-742-1 (4-86118742-7))ので、一応本屋でも扱える商品らしい。発売当初ならセキュリティ書コーナーに置いてあったのかもしれない。だが、ニッチ分野で売れなかったからなのか、形状が小さくコロンとしているので本屋や取次ぎ(トーハン、日販)が嫌がったかからなのかはわからないが、探した限り今置いている店はなかった。日立システムアンドサービス発行＆翔泳社販売からは他にもかるたや双六を出しているが、これも書店では見かけない。シリーズ化してB5かA4サイズにした上で、「大人の科学」のような体裁にして出せば本屋も扱いやすく、バックナンバーも返品しにくくなると思うのだが。ネット通販主体にするつもりなのかも知れませんが……。

何のために何をするのか

「何のために(why)」は明白である。製品コンセプトにあるようにセキュリティを「楽しみながら学ぶ」ことを目的としている。「何をする(what)」も明白で、かるたという古来からある遊戯の形式で競うことで、セキュリティ上の注意点を学ぶということである。だがちょっと待って欲しい。いきなり読み札を読まれてそれを聞いて頭文字の書いてある札を早く取ることだけでそれが可能となるのだろうか。意味を理解するプロセスがないと、その場で終わってしまう。

誰がやるのか

かるたをやる人はどのような者(who)か? 解説本には家族でやることも想定してはいるが、日立システムアンドサービスの情報セキュリティブログを見る限り、児童や学校関係者向けの宣伝を実施しているとは思えない。そうなると、想定される主力販売ターゲットは企業等法人のセキュリティ担当者である。だが、セキュリティ担当者がこれを購入したとして、誰にかるた競技をやらせるのか。新入社員? 管理者含めた一般社員? はたまた各部門のセキュリティ担当者か? 競技実施者のスキルも問題だ。だから実際にやってみて検証できなかったのだ*3。

「かるた」の場合、札の内容も問題である。一般ユーザなのか、システム管理者なのか、セキュリティ担当者なのか、はたまた部門長や経営陣なのか、誰向けの内容なのかが統一されていない。「セキュリティ屋」がキーワードを集めてみただけのような感触を持った。

• 来るなら来い　ファイアウォールで　キッチリ遮断
• 停電に　備えて安心　UPS
• 認証は　虹彩・静脈　指紋の時代
• ネットワーク　止めない構成　冗長化
• 逃さない　不正を監視　IDS
• プロキシで　ユーザーアクセス　集中管理
• 目じゃ見えぬ　記録を残せ　フォレンジック
• ワンタイム　毎回変わる　パスワード

これらのキーワードはバックグラウンドの仕組みの話で、一般ユーザが知っておく必要性が極めて薄い。生体認証やOTPなんか導入している会社ばかりとは限らない(今時指紋かよとも個人的には思う)。

• 盗み出す　額は小額　サラミ法

攻撃手法の名称なんか教えてどうするのか。

• 厄介だ　パッチがないよ　ゼロデイ攻撃

一般ユーザを怖がらせるだけなのではないか?

• 揺るがない　組織の根幹　コンプライアンス
• セキュリティ　どこからどこまで　セキュリティ?

セキュリティ担当者や偉い人たちがまず理解してから下の人たちに伝える内容だと思うが。

「いろはかるた」の場合は、さすがにそんなことはなく(ルール関係など家庭でやる場合は不適切な札もある)、一通り見ると一般ユーザが知っておくべきポイントのみに絞った内容となっていることが確認できた。懸念の一つが解消できた。但し、読み札の文言については、じっくり解説が必要なのも多いのだが。絵柄もちょっと言いたいこととかけ離れているのではないかという気もするが、情報セキュリティの脅威のビジュアル化って難しいから、仕方ないかなぁとも思う。

いつどこでやるのか

一番疑問に思ったのがこれである。
どこでやるのか(where)? かるたである以上、それなりの広さと跪けることができる場所が必要だ。畳のある部屋は難しいだろうが、床がでこぼこしていない、できればカーペット敷きの会議室が必要だろう。
そしていつやるのか(when)? セキュリティ教育と称して数時間集合教育形式でやったら、ただでさえクソ忙しい仕事の合間に時間かけてこんな幼稚なことやって効果あるのかよと文句言う輩が絶えないのではないか。あとは宴会の余興(皆記憶がなくなって逆に帰宅時鞄紛失するのでは)? デスマーチのバグ修正時間待ち(そんな気力あるのか)?

どのようにやるのか

どのように(how)といっても、基本かるたなんだからかるたやらせりゃいいんだろというのは、教育効果を考えていない発言だと思う。小学生のときにやらされた百人一首、当時その歌の意味をきちんと理解した人がどれだけいただろうか。教材である以上、句やキーワードの意味と理由について正しく理解する手段とならなくてはならないのではないか。
「かるた」は正直何も考えていないように思える。もう少しガイドが欲しい。「いろはかるた」は解説本を見ると、「かるたに限らず好きに使って」というスタンスで、パソコンに貼ってもいいし名刺代わりに配ってもいいとまで言っている。でもそれではあんまりだからか、解説本には「遊び方」が出ている。「初級」は普通のかるた。「中級」は「キーワード取り」といって、取り札を裏返しにして並べて読み札を読み上げてそれに対応するキーワードを取り合うという遊び方で、即ち取る側に若干の思考が入る。「どうしてこのキーワードなのだろう」と思ったら、皆でキーワードと句について話し合う場を設けるようにすることが書かれている。そして「上級」は、「キーワード逆引きプレイ」、「なりすまし上等プレイ」、「DDos攻撃プレイ」など遊びとしては面白そうだが、「キーワード逆引きプレイ」以外は教育効果は疑問である。「中級」と「キーワード逆引きプレイ」については、議論の場があり、参加者の理解が深まることが期待できる。

実際は?

日立システムアンドサービスでは今年初めに「セキュリティいろはかるた」大会を催したとのこと。昨年は同社が出している「PM格言かるた」と「SE出世双六」の大会をやっていたらしい。一昨年は「セキュリティかるた」で自社社員を対象に大会をやったらしい。
日立システム、「セキュリティいろはかるた大会」を開催
IPAチームは惜しくも4位に：セキュリティ最新情報の「札」を取り合い――セキュリティいろはかるた大会開催
参加者を見ると、第一部が日立システムアンドサービスの内定者と現役SE、第二部がNECソフト、PFU、東京計器インフォメーションシステム、IPA、TIS、日立ソフト、かるた制作チーム、日立システムアンドサービスとなっている。第一部は内定者教育と見なせるが、第二部はかるた製作チームを除けば皆セキュリティ事業に関わっている者ばかりである。今年優勝したのはNECソフトの人で、ITmediaの記事によれば、「かるたに勝つ練習ではなく、札に書かれているセキュリティの事例を学び、内容を覚えていった」ことが優勝の秘訣だったとのこと。やはり単純に字句と絵柄のマッチングではなく、内容の理解というプロセスが必要であることを示している。結局新人ちゃんとセキュリティ屋にしか役に立たないのかと思ってしまう。実際に導入した企業の声とか聞いてみたい気がする。

セキュリティ屋同士でやるならば……

ところで情報セキュリティブログといえば、産総研の高木浩光さんへのインタビュー記事が注目されていて、気になるやり取りがあった。

(前略)
★なるほど。ユーザーのリテラシーだけではなく、啓蒙する側の正しさというのも高木さんが訴えていることなのですね。

―啓蒙する側の正しさ。『セキュリティいろはかるた』にも言えるところがあったかもしれない、なかったかもしれない...のですが！（笑）

★あれは武田先生の徹底した監修の下、作成されたものですので、そのようなことはないはずです（笑）。そういえば、『セキュリティいろはかるた』は、いかがでしたか。

―おもしろいですね。イラストもかっこよいですし。職場でも遊んでみたいです。時間があれば。
(後略)

高木浩光流　インターネットの歩き方(後編)

双方受け答えに窮している様にも受け取れる(笑)が、読んでいて「ピン」ときたのは、「職場でも遊んでみたいです」というリップサービスかもしれないお言葉。高木さんの職場である情報セキュリティ研究センター(RCIS)には、ソフトセキュリティだけでなく、暗号屋さんもいれば、物理セキュリティ(耐タンパ性等)やっている人もいれば、社会科学とセキュリティとの関連について研究している人もいるというセキュリティ屋の宝庫。この人たちはこの「ツール」をどう使うだろうか。「本格研究」するとは思えないが、セキュリティ屋同士が「いろはかるた」をやるとすれば、こんなプレイをするかもしれない(技術論に終始するかもしれないが)。

1. 読み人が読み札を読む。
2. 参加者が対応する札を取る。
3. 読み人が取った人に以下のいくつかを尋ね、取った人がそれに答える。
   • 読み札が言いたいことを丁寧に具体例を挙げてください。
   • 何故それが必要となるのですか。
   • この問題が発生する状況を想定してください。
   • この問題を重要視する資産としてどんなものがあり、軽視してよい状況は考えられますか。
   • これはICT環境での事ですが、紙文書や有体物の管理で同様のことが起こるか考えてみてください。
   • この問題は人的注意によってしか解決できないのでしょうか。組織的、物理的、技術的に解決する対策はありますか
   • 句とキーワードをもっと適切で簡潔な言葉に置き換えることができれば提案してください。
   • 今の職場に当てはめると、どうですか。ルールにありましたっけ。
   • この問題は業務とプライベートのグレーゾーンに位置づけられますが、どのように人を説得すべきでしょうか。
   • 対策を行うことでプライバシー侵害になりかねない問題はありますか。
   • この状況は今の職場では発生しませんが、自分の業務の効率化につながるのでやってみたいと思いますか。
   • このことを教育するとすれば、あなたはどのように教えますか。それともシステムで対策を打ちますか(ICTシステムに限らず業務フローでもよい)。
   • これは一般利用者が注意すべき事項ですが、自分がもしシステム管理者など別の立場なら何をすべきだと思いますか。
   • 等など。
4. 周りの人は取った人の回答を元に議論する。
5. 取った人も含めて良い発言をした人に取り札を与える。
6. 最終的に札の多い人にご褒美を与える。最下位者に雑用を与えるｗ

セキュリティ屋というよりISMS屋の発想かもしれないな……。要は、かるたというより、読み札のセキュリティ事例を元にしたフリーディスカッションである。かるたが持つスピード感はかなり殺されるので、ゲーム性はかなり低くなりそうだから、札を全部読み終わった後でまとめて議論に入ったほうがいいかもしれない。

セキュリティ屋同士以外の者に行わせる場合の注意事項

色々考えてみましたが、現実的には、

色々偉そうで酷いこと書いてきましたが、日立システムアンドサービスの新たな教材に期待しています。上の句と下の句に脅威と対策をそれぞれに詠み込んだ「セキュリティ百策一首」とかおもしろいかも。