2014年07月29日

人をイメージで語らない。そして相手の自分に対するイメージは利用する

私は、人に対してある程度短い期間で先入観を持ち、この人はこういう人だと決めつけてしまう人のことを、「人をイメージで語る人」と表現しています。

色々と言われますが、人の先入観というのはとても大きな割合を占めていて、一度持った先入観を払しょくするのは非常に難しいです。そして、人は自分が思いたいように相手のことを、あいつはこうだ!と決めつけているものです。

それがよいこともあります。ぶれないことにも繋がるのかもしれません。
しかし、ことビジネスにおいては、この先入観は非常に厄介な代物で、対人関係、部下・上司の関係、仕事の内容、その他多くのものの中に入り込んだ先入観は、時に人を傷つけることも、間違った判断をすることも、人の意見を結局聞いておらず、相手を怒らせることもあります。

逆に言えば、最初に相手にもたれてしまった先入観を利用しない手はありません。
要は相手は、自分のことをこうだと決めつけているのであれば、それは相手が思考を鈍化させ、相手に読まれる状況を自分で作ってしまっているわけです。
この場合、相手の先入観を利用して演じた自分について、相手は自分の持っている先入観が正しいものだと勝手に意識し、疑うこともしないことが多いのです。

これについては経験的にいくつかの実験をしています。
相手はもう、私のことをこういう人間だと思い込んでいるため、その状況を利用して自分の有利になるような状況を作りこんでいきます。相手は気持ちよく思考し、こちらはそれをそのまま利用していることに相手は気づかないわけです。そして、こちらは相手の手の内をすべて読んだうえで行動できます。

勝手に先入観を持つこと、つまり人をイメージだけで語る場合、相手に付け入るスキを作ります。
逆に言えば、相手が自分に対してどのような先入観を持っているか、それを早期に知ることは、その人をうまく説得することも、だますことも、動かすことも、気分良くさせることも、嫌われることまでこちらの思惑通りに動かせる可能性を持っています。
そして、こちらが相手に勝手に先入観を持ってしまうことは、間違ったことをしてしまう可能性も出てしまいます。

勝手なイメージを自分では持たないように、常にそのイメージが正しいか、正しくなさそうなのか、勝手に固定観念にしてしまっていないか、思い込んでいないかを意識し、違う観点・違う角度から物事や人物、さらには自分をとらえるよう意識しましょう。それすらもイメージなのかもしれませんが・・・。

そして、次には相手が思い込んでいるイメージをしっかり理解し、時に相手のイメージに合わせた説明、相手のイメージを利用した行動、または相手のイメージを壊して育成させるなどに活用できるよう、意識して行動していきたいものです。

2014年07月28日

金融機関のMITB対策について

前からMITB攻撃という言葉がよく金融機関相手に出てきています。
それでも十分知れ渡ってきているため、最近では金融機関以外のサービスも狙われてきています。

MITB攻撃=Man In The Browser攻撃の略です。
簡単に言えば、対象者のPCにトロイの木馬を仕掛け、被害者が銀行のサービスを利用しているときに、被害者が気づかない間に不正にブラウザを操作してしまう攻撃です。
この攻撃を受けてしまうと、被害者は気づかない間に、金融機関のサービスであれば加害者の口座に不正に送金する作業を勝手に行われてしまいます。

この攻撃に対しての対策は大まかに三つあります。
1. 二要素認証
2. 専用のセキュリティ対策ソフトウェアの導入
3. トランザクション署名

1. 二要素認証は簡単です。ログイン時にパソコン以外の独立した別のデバイスでもログインをすることを意味します。たとえば携帯電話などを利用します。これによって勝手にログインされてしまうリスクを減らすことができます。ですが、ログインできてしまえば攻撃できるのですから、攻撃者は対象者がログインするまで待つことで、攻撃を可能にできてしまう可能性も指摘されています。

2. 専用のセキュリティ対策ソフトウェアの導入は、これまでのウィルス対策ソフトウェアよりももっと高度で、MITB攻撃に特化した検出に強みを持つソフトウェアです。
接続しているサイトが偽物ではないか検出すること、不正なソフトウェアがないかを検出すること等、各種対応が実装されていますが、まずこのソフトウェアを導入する前に、不正なソフトウェアが導入されていた場合には効果がない可能性があります。また、こういったソフトウェアは銀行からは無償でユーザーに提供されます。よって、攻撃者もこのソフトウェアを解析できてしまい、バグを突かれる可能性も否定できません。

3. トランザクション署名は、ワンタイムトークンを発行するハードウェアなどを併用し、送金をブラウザから実施した場合、そのハードウェアに表示された番号も同時に入力する必要があるものです。
そのハードウェアが発行する番号は、一定の時間で変化し、変化の仕方は端末ごとによって異なります。よって、攻撃者は利用者が持っているハードウェアをリアルタイムで見られる環境になければ、勝手にブラウザを乗っ取っても、同時に必要な番号がわからず、処理が受理されません。
この方法は非常に有効ですが、まずハードウェアが必要であること、そして、そのハードウェアの情報をすぐに盗み見ることができる状況、つまり、たまたまWebカムがPCについていて、Webカム経由でのぞかれていたなど、レアケースには対抗しにくい点が課題かもしれません。

よって、通常は上記3種類の組み合わせが必要となります。

でも、もっと単純な方法があると思います。
被害が発生するケースは、不正に送金されるなどの特定のオペレーションです。そのオペレーションがされた時だけ、携帯などの二要素認証に利用する端末にメールを送信し、そのメールにどういうオペレーションを現在しようとしているかサマリが表示されるようにします。
その内容が正しければ、メールにある認証情報をもとにオペレーションを継続するよう指示を出せば処理が完結するようにします。

利用者は不正な操作があればメールで気づき、その後の作業は承認しなければよく、同時に自分の操作もメールで記録を残せます。

もしかしたら私が知らないだけで、ログイン以外にも上記のような二要素認証が適用されているのかもしれませんが、具体的な内容にあえて触れず簡単にしか説明しませんでしたが、不正被害にあいやすいオペレーションの結果も二要素認証の対象としてしまえば、もう少し簡単かつ確実な対策があるのではないかと感じますが、いかがでしょうか。
posted by Kiruahさん at 01:00| Comment(0) | TrackBack(0) | ノウハウ

2014年07月27日

「考えなさい」という指示は無駄なことが多い

会社の上司からよく言われる叱られる言葉の最後に「考えてみなさい」もしくは「考えなさい」があります。
簡単に言えば、これは上司から部下に対しての教育をかねての言葉だったりします。
また、コーチングにしかり、いろいろなご意見の中で、コミュニケーションが重要であり、最終的には対話の中で考えさせるというのが結論として語られます。コミュニケーションについての多くの知識、経験は話の中でこうしたらよいなど雄弁に語られますが、考えさせること、その方法については全くと語られることがありません。

それは単純に考えさせることが話のテーマではないか、考えさせるのは別の機会でということか、もっと言えば、考えさせることまでは方法論がないかのいずれかだと考えます。

私には、この上司から部下に対する考えなさいという指示、言葉は間違えている対応だと思います。
もし最初から言われているようにもっと考えてきなさいという対応ができているのであれば、最初から考えて答えを上司にもってきているはずです。
誰だって、やっつけ仕事でなければ考えて仕事をして、そのうえで分からないから上司に相談するなり、考えた結果これが自分なりのベストという意識をもって上司に報告します。
そこからさらに考えてみなさいということに対して、何を期待しているのか?となります。

一つ目は、対話をしている中で気づきが本人にあったから、考えさせたら答えを自分の力だけで導き出せそうだと感じる場合。この場合はごくまれにありますが、その場合においては本人にはすでに答えが見えています。

二つ目は、あまりにも正解に遠いから、もう一度考えて少しは正解に近づけてみなさいという場合。
この場合は、多少は時間をかけただけあって正解に近づく可能性もありますが、逆に遠くなる可能性もあります。もちろん、正解に近づくヒントを出すこともあろうかと思いますが、そのヒントをヒントととらえるかどうかは相手次第です。つまり、上司のヒントを出してあげたという自己満足の世界で対話が完結しているのです。
このパターンの上司は、案外部下の言葉に耳を傾けていないことも多く、考えなさいというのは単に自分が正解に部下をコーチングしていくのをさぼっているだけのケースがほとんどだと思います。

もちろん、上記二つに合致しないケースもあるかもしれませんが、私の狭い経験の中では、特に二つ目の上司がほとんどを占めていると思います。

これは時間の浪費です。
まず、考える力というものを誤解しているかもしれません。
人は誰しも考えた結果について、考えた末に思いついたと思いがちですが、そういうケースは少ないのが実態だと私は思います。通常は思い付いたのです。。。ひらめいたともいえます。
それを考えていたからと表現しているだけです。

ある仮説を立てて、それが正しいかを論理的に導き出していく作業が考える力の一つだと思います。
つまり、考えている場合には、ある一つの考えの次の意見までしか出てこないのが実情です。そして、さらに次の意見にたどり着くのには、思い付きやひらめきが必要不可欠です。

上司が求める考える力は、ある種の思い付いた結果やひらめいた結果の正解を部下に求めていることと同義です。よって、上司に見せた成果物から本当に上司が求める正解を考えて導くことは通常できないものです。
それこそ、別の観点から思い付きでもしないかぎり・・・。

思い付きやひらめきは、大量の経験が必要です。
ある物事に対しての10の経験と、その中から出た100の不満に対して導いた解決策が思い付きやひらめきで表現でき、それを普通は考えた結果出たものと表現していると私は思います。

上司が部下の出した答えに対して考えろというのは、そのことに対して、部下に大量の経験をさせていなければ、時間の浪費、部下は考えても何をどう考えたらよいのか、むしろ自分はものすごく考えたのに・・・と不満を持ち、さらに試行錯誤して場合によっては近づくかもしれない正解もあるかもしれませんが、より正解が遠のき、さらに時間が浪費されます。

考えてみなさい、その結果出た答えが正しければ成功体験になるのかと言えば、そうでもないのも実情です。
残るのは時間の浪費と部下の本当にこういう上司のやり方は正しいのかという思いを残すだけです。
上司にとっては部下を思って考えさせたのかもしれませんが、部下にとってはもっとビジネスに対してドライに時間の無駄を意識させることになります。

考えさせるのではなく、答えを提示した上で、どう違うのかをコミュニケーションの中で部下に発言させるのが、もっとも次に部下は自分の行動が正しく上司が求めるもの、ビジネスとして正しいものだったのかを考えるきっかけになります。

上司は単に考えてみなさいと、答えを提示せずに、またできなければ仕事を取り上げてしまうのではなく、考えさせるならば、それなりの理由と行動を示す必要があることに気付くべきでしょう。