山本　慎一郎

先日、WordPressのあるプラグインに関する脆弱性情報が発表されました。
これを受けて、個人的に情報共有をしている方々に、その情報を展開するメールを送りました。

その2時間後、JPCERTからこんなお知らせが公表されました。

JPCERT/CC Eyes
注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー
https://blogs.jpcert.or.jp/ja/2023/05/cost-and-effectiveness-of-alerts.html

なんとタイムリー！
まさに私のような人間を狙い撃ちにするそのタイトル！
2時間前に発信しちゃった私はどうすれば！？

目を逸らしても何の得にもならないので、しっかりと読んできました。
自身の行動について考えさせられる、素晴らしい記事でした。

記事の内容を端的にまとめると、次のようなものです。

『情報を受け取るだけでも、コストがかかるんだぞ！』
『タイミングと方法が的確でなければ、情報は受け取ってもらえないんだぞ！』

痛い。
耳も痛ければ、胸も痛い。
ぐうの音も出ないとは、こういうことか……。

確かに、私が送ったメールでは、相手に『タイトルと内容を流し見して既読にする』という「コスト」をかけさせただけかもしれません。
これでは、ただの迷惑メールと同じです。

ならば、今後どうしていけばよいのでしょうか。

どうすれば、情報セキュリティについて、もっと意識を高めてもらえるのでしょうか。
どうすれば、相手にとって必要な情報を効果的に伝達できるのでしょうか。

さすがに、メール配信に代われるほどのものはパッと浮かびません。
ただ、メール配信は相手に『「コスト」を強制』してしまいます。

ですが、逆に考えれば、コストを選択できたり、情報とコストが釣り合っていれば、問題ないわけです。
普段は余計なコストが発生しても、いざという時にそれを回収できるほどのコストで情報が手に入るなら、トータルで見ればそれは妥当です。

うーむ……難しい。
これはきっと、簡単な答えなどはなくて、常に考えていかなければいけないことなのでしょう。
考えることが多すぎて困っちゃいますね。

というわけで、JPCERTの記事にボディーブローをもらったというお話でした。
タイミングも方法も、この上なく的確でしたよ……。

それでは、必要な人に必要な情報を必要なだけ伝えたい、山本慎一郎でした。