Accountability Sinks 責任はどこへ消えるのか? サイバーセキュリティの構造
引用元:https://news.ycombinator.com/item?id=43877301
俺が「責任の消失地点」の網の典型例としてよく挙げるのが…サイバーセキュリティだよ。現実世界では、この分野は技術とか数学とか暗号の話っていうより、ほとんど全部、契約で責任を分散・拡散させることなんだ。
だからエンドポイントセキュリティツールを入れる。だから理不尽だったり非生産的だったりするのに、コンプライアンスチェックリストの項目を埋めるために必要なあらゆる要件を満たさなきゃいけない。だから外部監査人が来て、本当にその項目をチェックしたか確認するんだ。これ全部、何か起こった時(だって、いつかは起こるから)に、これらの対策全部を指差して「最高の対策は全部やりました、難しい部分は世界的に有名な専門家に委託しました、第三者監査でそれも確認済みです - これ以上できることはなかった、だから俺たちのせいじゃない」って言えるようにするためなんだ。
そう思って、企業とか、そういう企業に売ってる B2B 企業とか、他のサプライヤーとかの視点から世界を見てみて。例えば、小さい会社が大手企業に相手にしてもらうためだけに、特定の基準を守ることを強いられてるとか、見てごらん。それ全部で網が作られて、何かに対する責任が分散されていくんだ。結局、誰も非難されず、みんなが全力を尽くしたことが証明されて、唯一起こることは、会社の保険金が支払われて、影響を受けた顧客が無料の信用調査とかいう意味不明なものをもらうだけ。
これが悪いって言ってるわけじゃないんだ、それ自体はね - 保険で全ての責任を解除するのが最善な状況もたくさんある。例えば、海難事故を海上輸送業界がどう処理してるか見てみて。ただ、これを理解すると、サイバーセキュリティっていう分野の多くのパラドックスが説明つくってこと。これは主に責任管理の話であって、色の違う帽子をかぶったハッカー同士が戦う話じゃないって気づくと、すごく腑に落ちるよ。
>「最高の対策は全部やりました、難しい部分は世界的に有名な専門家に委託しました、第三者監査でそれも確認済みです - これ以上できることはなかった、だから俺たちのせいじゃない」
俺のキャリアで見てきた銀行の(役に立たない)プロセスやシステムで、これに帰結する量が信じられないくらい多い。例えば、認証のために何の効果もないかもしれないコールセンター技術に何億も費やすけど、ベンダーは「業界をリードする」「クラス最高」って言われてるとか。
>これを理解すると、サイバーセキュリティっていう分野の多くのパラドックスが説明つくってこと。これは主に責任管理の話であって、色の違う帽子をかぶったハッカー同士が戦う話じゃないって気づくと、すごく腑に落ちるよ。
ビンゴ。銀行や医療詐欺・保険会社のリスク部門も全く同じ状況だね。
銀行のリスク部門は頭の切れる quant がいると思ってたけど、実際は文字通り弁護士とかコンプライアンスの人が、自分たちをもっと洗練されてるように見せかけて箱チェックしてるだけ。例えば、製品の KYC レビューが、新しい製品の KYC プロセスがちゃんと動くかフォローアップして確認することなんて絶対にない。analytics も tracking も何もなし。監査や規制当局が来て「うちのベストインクラスのベンダーがこれを担当してます」って聞かれるまでね。システムは全部間違って実装されてるけど、ベンダーが構築してコンサルタントが実装したから関係ない。そして彼らが責任を持つことになってる(実際は持たないけど、そこにたどり着くまで裁判で〜5年かかる)。
「bureaucracy」って機械的にどういうものか、理解し始めたところだよ。
面白いことに、病院のチェックリストは、経験的に、超大量の命を救うデバイスだって証明されてるんだ。
サイバーはそこまでじゃないかもね…
サイバーセキュリティと民間航空の安全性の違いは何だろうね。一見すると、どちらもプロセスと要件がたくさんある。なぜか片方は、君が言ったように、必ずしもセキュリティを高めることなく責任に対処する方法である一方、もう片方では安全性が実際にかなり高まっている。
これはセキュリティに対する究極のニヒリズムだね。
うん、「サイバー」セキュリティが多くの組織で箱チェックやカーゴカルトになってるのは事実。でも、あらゆる技術スタックや新しい SaaS 製品に最初から付いてくる問題を修正しようとする君の反論は何?
ほとんどの人にとって、Netflix (または HN) のパスワードが漏洩したら、2004年以来送った全てのメールも公開されるってこと。401k が吸い上げられる可能性もある。だから、面倒でチェックボックス的な MFA 要件を歓迎しようぜ。
YC startup のためにコードを書いてるエンジニアなら – 君が今取り込んだ依存関係は誰のもの?君や君のチームは、6ヶ月後にそれの変更点(とセキュリティバグ)を追跡するつもり?2、3年後はどう?
うん、「サイバー」セキュリティはたくさんの面倒なチェックボックスをもたらす。でもそのほとんど全ては、君がさもなければ喜んで見過ごすであろう外部要因によるものなんだ。だから – 面倒なチェックボックスをなくして、人々が当然のように正しいことをするようにするにはどうすればいい?
チェックリストは、ステップを忘れるわけにいかないような高ストレス状況(医療、航空)でうまく機能する。
セキュリティインシデントでのチェックリスト?たぶん役に立つ。
監査や古い規制を満たすためのセキュリティチェックリスト?これは全く別の種類だよ。
そう、コンピュータセキュリティのチェックリストで最も多い問題は、チェックリストの誤用だね。
俺は金融関係のサイバーセキュリティをやってるけど、マジで一番アホなチェックリストがいくつかある。
最近もらったのは
”HTTP verbs は ’GET’ と ’POST’ しか許可しません、あなたのアプリケーションはそれしか使えませんし、verbs PUT, PATCH, DELETE は使えません。”
「頭おかしいんか」って返信しないようにしてから言ったよ
”これって、RestAPI アプリケーションを使ってて、これらの verbs が同じインターフェースに行って違うやり方で呼び出しを変更できるって分かってます?俺たちのアプリケーションを書き直すのに何か月も何年もかかるだけでなく、これを実際に機能させるためには、そちら側の何十ものアプリケーションを書き直さなきゃいけないんですよ。”
他の会社から来たこの無能な監査人たちは、2003年の「ベストプラクティス」をどこかで拾ってリストに入れて、元のものがなぜ最初に呼び出されたのか全く分かってないのに、それを実装する必要があることについて神様気取りになるんだ。
知りたい人のために言うと、通常これらの verbs は、特に Windows/IIS 上で WebDAV の偶発的な有効化を防ぐために無効化されてた。それにセキュリティ上の問題があったんだ。現代の API アプリケーションで、そういうルールは全く意味がないよ。
真の責任追及だ。会社に「まあ、俺たち SOC2 準拠だったから、この侵害は Apache Struts をアップデートしなかったのに俺たちのせいじゃないよ!てへっ」とか言わせちゃダメ。Equifax が InfoSec murder とも言える件で、執行猶予付きの6ヶ月刑で逃げおおせてから、エグゼクティブは気にしなくなった。これは技術の問題じゃなくて政治の問題なんだ。
>だから – 面倒なチェックボックスをなくして、人々が当然のように正しいことをするようにするにはどうすればいい?
実際にこれを強制する力を持つことだよ。俺たちの SBOM を見て、脆弱性があることに気づいて、Product Owner にその修正を優先させろ。たとえ俺たちが2年前にアホなことやって技術負債の請求が来たから6週間かかるとしてもね。そうじゃなきゃ、こんなことで俺の時間を無駄にするな。やることがあるんだ。
意地悪く言ってるつもりはないけど、今の infosec チームに対する俺の考えはこう。君らは SOC2 を取得する能力以外に力がないし、それが茶番だって俺たちはみんな分かってる。セットのどの部分が俺から欲しいか言ってくれ、それを持ってとっとと失せろ。
セキュリティはエンジニアリングよりプロダクトマネジメントやマーケティングに近い。それは物語であり、プロダクトやマーケティングの鏡像だ。プロダクトが願望に基づいて人々が欲しいものを作るのに対し、それは人々が明確に欲しがらないものを管理することだ。組織にプロダクトマネジメントがない場合、彼らにはアンチプロダクトマネジメントがある、それがセキュリティだ。「アンチプロダクト部門はありません」と言えるね。
特に説明責任について言うと、俺はリスク評価コンサルタントのスプレッドシートで6週間以上かかってたのを、プロダクトマネージャーやエンジニアの会話20分で済むセキュリティ製品を bootstrapped した。それは説明責任を「左」にシフトさせたようなものだ。
それをいくつかの銀行に売り込んだとき、主導的なセキュリティ担当者の一人が俺を脇に連れて行って、こんなことを言った。「君は分かってない。俺たちは自分でリスクを見つけたくないんだ、リスクと解決策を俺たちに教えてくれる人に金払うのは、彼らが他の誰かだからだ。彼らが何をすべきか言おうが関係ない、本当のリスクは彼らが俺たちに何か言った瞬間に彼らの E&O 保険に移るんだ。君の製品は俺たちにリスクを見せることで、リスク管理を助けるんじゃなく、それを軽減・排除するための機能を構築する義務を負わせるんだ。」
俺は悟った。管理するとは価値を得ることだ。リスク評価と、リスクに対する説明責任を主張するために俺が費やした10年間は、踊る猿としてのものだったんだ。
正直言って、これって保険と全く同じだよ。君が守ってるものの価値(そして単純なコンプライアンスには、ペナルティや回避されるべき責任という形で君にとって価値がある)を理解して、システムを破るコストをそれより高くするんだ。
企業レベルでは、契約上ほとんど保険と同一で、売られている製品はセキュリティそのものではなく、そのセキュリティに対する責任なんだ。
航空安全は失敗するとたくさん命に関わるし、事故は業界全体に影響するから、みんなすぐ怖がる。でもサイバーセキュリティの失敗は、ほぼ人の命や健康に影響しない。データ漏洩はよくあるけど、影響はほぼゼロ。サイバー攻撃の影響は実際にはほぼお金だけ。命に関わらないならお金で解決できるから、みんな自分が払わなくて済むことばかり考えてる。道路安全とも比べると面白いね。
これって、サイバー人材が少なすぎるのが原因だと思う。サイバー監査員はリスクとかコントロールを理解すべきだけど、技術スキルがない人が多いからチェックリストに頼りがち。大組織だと、セキュリティを理解しないエンジニアリングチームとの間でも同じことが起きる。結局、スキルと意識の問題だよ。必要なスキルを持った人が足りてないんだ。
これって両面の話だよね。漏洩を止めるのと同時に、漏洩データの価値を下げる必要もあるんだ。なりすましって、ちゃんと起訴されることがほとんどなく、ほとんどの詐欺師にはリスクが低い。
俺は、クレジット申請時には本人が写真と指紋を取られるべき、みたいな規制が欲しいと思ってた。SSNが悪用されても、犯人特定のための決定的な証拠がすぐ手に入るからね。
ほとんどの人にとって Netflix や HN パスワードが漏洩しても意味ない。過去5年で20回漏れても気づかない人がほとんどで、SSN漏洩でも何か起きることはほぼないんだ。
サイバーセキュリティは賠償責任管理に焦点を当ててる。それが顧客が払うとこだから。安全なシステムには推奨に逆らう必要もある。技術者は仕事の重要性を過大評価してるけど、現実にはほとんど賠償責任管理で、問題は保険で片付けられる程度だよ。
俺、しばらくGRC分野で働いて、上のコメントに書いたことを実感したんだ。製品に関わって顧客視点で見たら、彼らの見方では、サイバー脅威は全部ドルで評価されてて、脅威軽減は対応するドルを払わなくて済むことに尽きるんだ。根本的な脆弱性に対処するより、誰か他の人が払うようにする方が効果的なことが多いんだよ。
そうだね。俺はたまにこれをメタレベルの保険って呼んでるよ。構造的にはそういうものだから。面白いことに、実際の保険もその重要な一部なんだ。それが究極の責任の受け皿なんだ。
で、まあ、これでいいんじゃないかな。命や健康に関わらない影響、つまり完全にドルに換算できる影響に対処する一般的な方法なんだから。
多くの企業の”サイバーセキュリティ”で最も残念なのは、コンプライアンスと責任回避のための”劇場”と、信じられないほど安全でないやり方だ。
安全なシステム構築の専門家をもっと雇えばいいのに、ほとんどの企業はセキュリティを気にせず、コンプライアンスだけ。CISOはスケープゴートで、CEOは全く気にしてない。
静的なHTMLがNPMからたくさんパッケージを引っ張ってくる件とかで”劇場”が生まれ、それを退治するソリューションが必要になってる。
タレントプールが小さいとは思わないな。予算の問題だよ。InfoSecは多くの人にとって、残念ながら巨大な金の無駄遣いだと見られてるんだ。
全然大丈夫じゃないよ。高価で無駄なセキュリティ”劇場”は、非効率で腐敗してるだけじゃなく、もっと積極的に有害なんだ。無駄な時間とお金の機会費用があるし、簡単で安い改善を意図的に拒否するインセンティブがあるから。
たとえ金銭的な問題でも、責任を分散させても損害を完全に消せない。それは単に納税者に押し付けられるだけだよ。
多くのセキュリティ”製品”はひどい。使いやすさとかは重要じゃなく、業界用語は”リスク移転”だよ。
ほとんどのソフトは広告通りじゃない。機能は、買った人がベンダーを非難できるようにすること。”ベンダーXに金を払ってリスク移転したから我々のせいじゃない”ってね。でもビジネスとしては君の責任だよ。顧客なんだから、君がしくじったんだ。ベンダーXはインシデントでタダで取り上げられる。インセンティブは腐敗してる。
> Aviation safetyの失敗は命に関わるからね
これって面白い視点だよね。たしかにインセンティブとか、問題解決にかけるリソースの量に影響するよね。Cyber securityのインシデントで実際に被害が出るケースは、これから増えると思う(インフラとかね)。まだ大規模な国家主体が悪意を持って戦争しかけてくる経験はしてないし(まだね)。
インセンティブが改善されれば、攻撃をもっとうまく防げるようになるのかな? それは分からないね。確かに問題にもっとリソースを投入するだろうし、結果をプロセス設計でもっと重視するだろうけど、本当にその気になったとして、Cyber securityのインシデントを防ぐ方法を知ってるかっていうと…それはどうなんだろうって思うよ。
君の意見、大体合ってると思うよ。即時で明白な影響がないから、影響がないと思われがちってことだね。でも、君が最初の例に挙げたData breachesだって影響はあるんだよ。君や僕には起こらなかったかもしれないけど、実際にIdentity theftされる人はいるし、そこから回復するのは悪夢だよ。John Doeさんの消えたRetirement fundとか、台無しになったCredit scoreとか、誰も”うやむや”にはできない、あの害は永久に残るんだ。
> this never happened
これも違うね。RussiaはUkraineに対して何度もCyberwarfareを使ってるよ。例えば2016年に一部のグリッドを1時間止めた時とか、もっと分かりやすく2022年の侵攻で国のインフラやデジタルオペレーションを混乱させた時とかね。StuxnetやTritonもかなり深刻だったよ。何百万人も殺す可能性は低いけど、実際の効果はあったんだ。これを持ち出して、なんでみんな十分気にしてないのか説明したいなら、それは同意するけど、「これは決して起こらなかった」って言うのが、実際に「決して起こらない」って意味するって示唆するのは見当違いだと思うよ。商業航空が始まって20年経ってから爆破事件が起こったけど、明らかにそれは今や大きな、継続的な懸念事項になってるでしょ。
Aviation safetyってほとんど過去の経験から学ぶことなんだ。既知の危険を対策して、一度対策すればそのままなんだ。Cybersecurityは敵対的な危険なんだよ。対策しても、積極的にその対策を無効にしようとしてくるんだ。
FAA equipment checklistsよりもTSA security checksに近い例えだね。チェックリスト方式は、過去のエクスプロイトを真似するのを防ぐことはできるけど、新しくて創造的な問題を防ぐのにはほとんど役に立たないんだ。
Aviation safetyは aircraft modelsの種類もずっと少ないよね。今生産中のが17種類くらい(派生型はもっとあるけど)、計画中が3種類、生産終了が26種類、それにもっと古いのがいくつか。結局、全体で製品の数はそんなに多くないんだ。
じゃあ、今開発中のソフトウェアの数と比べてみてよ。そして、特注品を買ったり自社開発したりしてる会社の数もね…。
こういう仕事に新しい言葉を定義すべきだよね。
例えば”Risk Compliance Security”とか”Security Compliance Engineering”とか。
“Security Compliance Engineering”は、規制フレームワーク、契約義務、保険要件を満たすセキュリティコントロールを設計、実装、維持する活動ね。その主な目的はサイバー攻撃を防ぐことじゃなくて、セキュリティインシデントが起こった時に組織がデューデリジェンスを証明して、責任を最小限にして、監査対応できるようにすることなんだ。
主な目標:
- 外部監査や内部レビューに合格する
- ISO 27001, SOC 2, NISTみたいな標準に合わせる
- 文書化と証明で組織のリスクを軽減する
- 法的な防御力と保険適用性でビジネス継続を可能にする
対照的に…
Cybersecurityは、サイバー脅威を積極的に検出、防止、対応することに焦点を当ててるんだ。
システムやデータを保護することに関心があって、accountability sinks(責任の消滅)には関心がないんだよ。
僕らもそれに近い経験は確実にしてるね。僕のはPre-GRC、デザイン段階のツールみたいな位置づけだった。aha.io/roadmap.comみたいなセキュリティ版ね。初期の推進者が、どうすればコンプライアンスに対応できるのか、どのコンプライアンスフレームワークを実装してるのかって聞き続けてきたんだ。僕はこれはコンプライアンスのためじゃない、製品レベルの設計セキュリティなんだ、って言い張って、コンプライアンスツールを作るのには興味がない、コンプライアンスはStupid(馬鹿げてる)だって言ったんだ。皮肉なことに、それは本質的にanti-corporate security製品だったんだよね。
もちろんセキュリティの人たちは「wat, wut?」ってなった。それは僕が、みんなが”こうすべき”だと思うものを作ったけど、”こうしたい”と思ってるものじゃなかったからなんだ。今振り返ると面白いよ、すごく燃え尽きてて、やってたセキュリティの仕事が大嫌いだったから、もうどうでもいいやって思って、それを自動化したんだ。一番大きな思い込み(たくさんあったけど)は、リスクアセスメントコンサルティングサービスの成果を、自分でやれば100分の1の値段で手に入るなら、顧客はそれを欲しがるだろう、って信じてたことだね。もう一つの教訓は、誰かがリスクに責任を取らない、または取れない場合、それは彼らが馬鹿だからじゃないってことなんだ。
> もっと多くの会社がセキュアなシステムを作るSoftware developersやProduction infrastructure expertsを雇うことを想像してみてほしい
想像するよ、そして彼らはハックされるんだ(防御側は毎回幸運でなきゃいけないけど、ハッカーは一度幸運ならいいからね)、そうするとメディアが「業界全体がやるべきって言ってることを全部やってましたか?」って聞いてきて、彼らは「いいえ、でも実際にはセキュアでした!」って答えて、メディアは「いや、セキュアじゃなかったでしょ、ハックされたんだから、しかも最低限のことすらやってなかったんでしょ!」って言って、そしてその会社は二度と聞かれなくなるんだ。
この話に似てるんだけど – 僕が今まで働いた中で、Phishingのインシデントでクビになったって聞いた唯一のケースは…クリックしてPhishingに引っかかったCybersecurityチームのメンバーだったよ。
+1 Insightful
この本当に分かりやすい視点をシェアしてくれてありがとう。僕はSoftware securityに不合理なほど多くの時間を費やしてるんだけど、あなたが物事を少し分かりやすくしてくれたよ。
Checklistsは何かを忘れないようにするための良いツールだよ。でも、実際に考えることのひどい代用品だね。
もっとコメントを表示(1)
知りたい人のために言うと、こういった(APIの)動詞が無効になってるのは、いくつかのプラットフォーム、特にセキュリティ問題があったWindows/IISなんかでWebDAVがうっかり有効になるのを防ぐためだったんだよね。でも、今のAPIアプリでこんなルールがあっても意味ないじゃん。
サンキュー。こんなルールのバカバカしさがバレるのも面白いけど、もっと興味深いのは、それが昔初めて作られた時の本当の(そしてしばしば理にかなった)理由の方だよ。「一時的な」ハックが、それが解決した問題も、それが組み込まれたシステムも生き延びちゃうのは、ソフトウェアやハードウェアの世界と同じくらい、お役所仕事でもよくあることみたいだね。
Daviesの2つ目の抜粋—例えばフライトに乗れなくなる話—の結論は、うんうんって感じだけど、実際には間違ってるんだ。こういう状況って、実はもっと微妙なんだよね。話してる相手は、例外的なケースではエスカレーションできる能力を多少は持ってるもんなんだ。でも、それを日常的にやるわけにはいかないし、公式には「絶対無理です」って言い張らなきゃいけないんだ。
こういう状況で思い通りになる人って、十分に不合理に振る舞う覚悟がある人なんだよ。これは、Daviesが見落としてる「責任の欠如」の二次的な結果だね。顧客、つまりシステムの対象者にとっては、できるだけ不愉快に振る舞うことを奨励しちゃうんだ—だって、それが例外やエスカレーション、特別対応を引き出す唯一の方法であることが多いから、そして欲しいものを手に入れるためだからね。
これ、両方の立場になったことあるんだよね—昔いろんな仕事でカウンターの裏にいたり電話に出たり、そして今はお客さんとしてカスタマーサービスから良い結果を引き出す能力で家族や友達を驚かせたりしてるんだけど—、可能な限り不愉快に振る舞うのが実際に結果を出すのに効果的っていうのは、ちょっとした誤解だと思うんだよね。
多くの会社が設置してるひどいCSの迷宮みたいなのが、人をそっちの方向に追いやっちゃうのはすごくよく分かるし、それが唯一の選択肢だと感じるのも分かるんだけど、我慢強く、丁寧で、でも粘り強い方が、不愉快な態度をとるよりもずっと効果的だってかなり強く信じてるんだ。
小さな例を挙げるとね:夏の間、ちっちゃいアイスクリーム屋さんで働いてたんだけど、たいてい一人だった。お店には従業員専用の小さいトイレがあって—健康上の理由でお客さん立ち入り禁止の食品準備エリアを通るんだ。多少の融通は利かせられたから、夜遅くて他のお店が開いてない時とか、小さい子が緊急の時なんかは入れさせてあげてたんだ。でも、注文する最初から不愉快だった人は、トイレは全くありませんってシンプルに言われちゃってたね。(よくあることだけど!)入れちゃいけないって言った時や、近くのお店を案内した時に叫び始めた人は、例外を認められることはなかったよ。
例外中の例外として、多くの自動電話システムにはオプションのツリーがあって、本当の人間につながるのをすごく避けたがるし、どのオプションも役に立たないんだ。でも、中には悪態を検出して担当者に回すようにプログラムされてるものもあるんだよね。
だから、有効な戦略は、自動システムに悪態をついて、それからつながった本物の人間には丁寧に対応することだよ。
Turkish Airlinesに乗り継ぎ便を降ろされて、次の便まで空港で24時間待てって言われた後、同じ日のフライトを取ろうと30分間我慢して冷静に対応したんだ。空港のホテルに入れてくれない、フライトがある別の航空会社に乗せてくれないって、色々な言い訳を繰り返されて、食事券12ドル分しかくれなかった。5分間叫んだら、2時間後に出発するKLMのフライトに予約できたよ。
両側に嫌な奴はいる可能性もあるし、最初から状況は敵対的だよ。
うん、残念ながらいくつかのサポートシステムでこれを観察してるよ。
一番良い方法は、電話の相手の人間には個人的にはものすごく丁寧に接するけど、エスカレーションを引き起こすためにマニュアルに沿って必要な手順をこなすっていう、針の穴を通すようなやり方だね。
つまり—不愉快に振る舞う(大声出す、罵る、失礼になる、脅す)必要は全くないんだけど、電話を切るのを拒否して、エスカレーションを要求するべきだし、重要なのは、相手があなたをエスカレーションしなきゃいけない状況に同情することだね。「この問題を解決するために、何をすればいいですか?」みたいな言い回しを含めるといいかも。
携帯電話会社から3000ドルの請求書が来たことがあったんだ。どうやら誰かが僕の名前/住所で5回線と新しい端末を開設できたらしいんだ。最初の数ステップ—警察に行って、調書を作って、その受理番号を提出する—はマニュアル通りにやった。そしたら、さらに何か要求しようとしてきたからエスカレーションしたんだ。
その時点で、立場を逆転させたんだ—僕がこの回線を開設したって、どんな証拠があるんですか?携帯を買った時の店舗の防犯カメラ映像を見せてください、運転免許証のスキャンを見せてください、社会保障番号を見せてください? Timさん、あなたの名前と住所で店に行って、あなたの名前で5回線開設できるって言ってるんですか?証拠の非対称性、要求の不合理さを指摘できて、サポート担当者を自分の立場に立たせることができた…それで彼らは折れて、ケースをクリアにしてくれたんだ。
若い頃にサポートで働いてた人間として言わせてもらうと:
十分に不愉快に振る舞うなら、その態度が報われないようにするためなら何でもするよ。あなたの不快な態度をチケットにメモするか、メールをスパムとしてマークすることさえあるかもね。電話なら、突然回線に技術的な問題が発生しちゃうかも。そして、その間ずっと、僕はこれまで通りフレンドリーで忍耐強くいるよ。
上司にはあなたのことを警告するから、エスカレーションしてきた時には、あなたの素晴らしい人柄のカラフルな3Dイメージがすでに頭の中にあるんだ。それが100%あなたに有利に働くか、想像できるでしょ。
嫌な奴のゲームをする?嫌な奴の賞品をゲットするだけさ。
代わりに共感力のあるまともな人間みたいに振る舞って、正しいボタンを押せば、会社のルールの一部をスキップさせてあげることさえあるかも。サポートにいる多くの人は、あなたのために仕事を失うことなんか全く気にしないし、あなたはそれだけの価値があるかもしれないんだ。
これらは後になってシャワーを浴びながら思いついたことじゃなくて、実際に現場で経験したことだし、そういう役割の他の人たちがどう考えてるかも知ってるんだ。粘り強さは報われるけど、嫌な奴になるのはそんなに報われないね。
もし助けてくれるなら、なんで不愉快な態度をとる必要なんてあるの?
以前、携帯電話会社のカスタマーサポート担当者と電話で話してたんだけど、彼は可能な限り権限がないのが明らかだった。明らかに電話を切るのを禁止されてたから、僕はいつもの戦術—ただ諦めるのを拒否する—を使ったんだ。フレンドリーではあったけど、電話を終わらせるのを拒否したんだ。彼は僕の電話をエスカレーションするのを拒否してたけど、彼自身では助けられなかったんだ。
20分か25分経って、それがうまくいかないことに気づいたから、暴言を吐くような状況でエスカレーションするプロトコルがあるか尋ねたんだ。彼は「うーん…」って言った。僕は言ったんだ、「ねえ、君はすごく良い仕事してるよ、そして今日残りの時間がもっと良くなることを願ってる、そして、君はマザーファッカーじゃないって知ってることを願ってるよ、このマザーファッカーめ。」
彼は(願わくば?)笑いをこらえたと思う、「申し訳ありませんが、この電話をマネージャーにエスカレーションしなければなりません、お客様。」って言ったんだ。
>彼は明らかに電話を切るのを禁止されてた
たくさんの大企業が抜け道を見つけたんだ。「永久保留」っていうルーティンで、彼らは電話を切らないけど、結局あなたが諦めて切るんだよね。これはフリーダイヤルでは完璧に機能する(だから、電話料金を払わなきゃいけなかったって主張できない)し、ちょうど良い言い逃れ(答えを見つけるのに予想より時間がかかった、アクシデントだった、とか)を提供するんだ。
場合によっては、これが顧客へのアンケートを送るのを防ぐことにもなるんじゃないかって疑ってるんだ。これ以上ないくらい、それを悪用する理由になるね。
TKマジひどすぎて、もう二度と使わないしISTも行かないね。ISTで36時間も足止め食らって、3時間並んで最悪ホテル、また3時間並んで食事券なのにどこも使えないって最悪。キャンセル補償求めたら完全無視。弁護士使ってもダメだった。TKは絶対使わないし、みんなにも言いまくるよ。レビュー見たら分かるけど、ISTで何百人も同じ目に遭ってる。信じられない対応だった。
カスタマーサポート経験ないでしょ?CSに電話してくる人の多くは、マジで訳分かんないくらい理不尽なんだよ。だからまともな客がCSと話すのってすごく面倒くさい。システムはさ、電話の2割で仕事の8割を占める、困ったお客さんのために作られてるからね。
問題なのはさ、レビューを探すと、どの航空会社も同じくらいひどいって分かりがちなこと。通信会社もそうだよ。俺の考えでは、みんな同じ汚い手を使ってて、客を失っても気にしない安定した状態なんだと思う。みんな携帯やネットは必要だから、他の会社に行った客と同じだけ、他の会社から来てくれる客がいるからね。
>どれも役に立たない選択肢ばっか
ほんとそれ。先週Capital Oneでアカウントが「不正利用の疑い」でロックされたんだ。表示された番号に電話したら、延々自動音声で、不正利用の選択肢ゼロ。30分くらいエラー扱いでやっと担当者出たけど、事情分かってないみたいで何回も転送されたよ。なんで、その問題に全然関係ない電話番号出すんだよ?
何か頼んで「できない」って言われたら、「じゃあマネージャーなら?」って言うんだ。無理なんて絶対受け入れない。契約で義務だって言う。ダメならカードのチャージバックか、少額訴訟ちらつかせる。二通目のメールでもうやってるよ。馬鹿みたい?そうかもな。でもこんな会社何十社も相手してて、イチイチお前の会社の事情調べてる暇なんかないんだよ。
ロボットに意地悪しても、優しくしても報われない。ハッキリ直球で、というか、情け容赦なく冷たく接するのが、どんな場合でも多分一番良いやり方だと思うよ。
>「この問題を解決するにはどうすればいいか」みたいなフレーズも含めて
「私たち」って言うのはCS対応のコツ。担当者には優しく接しつつ、「私たち」の問題として解決を粘れるから。無気力な担当者相手に柔道みたいに使うんだ。「これは私の問題じゃなくて、私たちの問題だ。どうやって解決する?」
あと、最高のキャンセル理由。「キャンセルする理由は?」→「個人的な理由です。」これには反論できないよ。
自動音声システムってさ、選択肢がたくさんあって、絶対担当者に繋ぎたくないみたいで、全然役に立たないオプションばっかじゃん。でもね、たまに暴言を検出して担当者に繋ぐようにできてるのもあるんだ。大体は0を何回か押すか、「担当者と話したい」って言えば繋がるよ。暴言検出なんて、ややこしすぎだろ。
AirBnBのサポートみたいじゃん。会社ができるだけ補償払わなくて済むように、対応を可能な限り遅らせるために雇われた、クソみたいな遅延担当者ども。
あるいは、キャンセル理由を嘘ついちゃえば?>Comcastのネットを解約する理由は?
回答:「Solomon islandsに引っ越すから。あそこにはComcastのサービスも店舗も、周り1000マイルにはないから(多分)。」
だってさ、あいつら俺たちのことなんてどうでもいいんだよ、ただ金にしがみついてたいだけなんだから。
5年後にはさ、「ChatGPTがあなたをボットに敵対的だと検知しました。ドローンがあなたの位置に派遣されました”とか言われそうだな”
>オーストラリアでは政府がNBNを所有してて、小売業者がサービス売ってるんだ。大手は高いしカスだけど、NBNのおかげで出てきた小さいとこは安くてサービスも良いよ。競争が激しいのに大手が生き残るのは広告費かけまくるから。でも大多数の人は価格比較とかしないんだよね。AustraliaとUSAの大きな違いは、Australiaは政府が積極的に競争市場を作ってること。USAは自由市場信仰で競争がないか、Peter Thielみたいに排除するから、ひどいカスタマーサービスなんだと思うよ。
カスタマーサポートって、解約させないための罠にしか思えないんだよな。South Americaでケーブルテレビ解約したとき、2時間もかかった上に、担当者が「ノルマが〜”って泣きつかれたんだ。もう払う手段なかったからどうしようもなかったのに、こんな扱い受ける筋合いはないだろ。
「刑務所に入ることになったんで、身辺整理してるんです”ってのも手だよ。
もう一本別の電話でかけて、「いつ保留が解除されるんですか?」って聞けばいいんだよ。
Australiaの国民が自国政府に洗脳されてるの、ほんと驚きだわ。Australiaでは逆で、ネットワークプロバイダーは独占状態、見た目だけ“競争”してる多数のISPはどこも価格もサービスも一緒。ISPはただの請求会社だよ。ネットワーク問題は全部プロバイダーに丸投げ。
少額訴訟ちらつかせる前に、「無理なら解決不能ってメールちょうだい、クレカ会社に送ってチャージバックしてもらうから”って言うといいよ。チャージバックは手数料増えるから会社にも損だよって念押しして、返金お願いするんだ。これで9割はうまくいくよ。
まあ、電話番号にも金かかるしね&ああいう“神対応”みたいなのは、会社で誰も評価してくれないし。
カスタマーサポートで働いたことないんだろ? 最初から罵倒してくる奴もいるんだよ。挨拶もなしに、ひどく無礼な態度で、怒鳴ったり、攻撃的だったり。「自分の問題を魔術的に知っているだけでなく、悪意を持ってわざと問題を引き起こした張本人だ」みたいに決めつけてくる人もいるんだ。助ける機会すら与えられないことも。EUで育った身としては、人間の尊厳は基本的な権利だって信じてるし、サポートの人間を最低限のマナーで扱うのはその精神に沿ってると思うね。
もっとコメントを表示(2)
>[略]可能な限り不快な振る舞いをすることを奨励するーなぜならそれが例外を発生させる唯一の方法だから[略]
ってことは、 Asshole filter が生まれるってことだな。ここに詳しく書いてあるよ: https://siderea.dreamwidth.org/1209794.html
リストから漏れてる例の一つがTVシリーズ 24だな。繰り返し描かれたのは、拷問はもちろん悪いしルール違反だしやらない、って建前がありつつも、例外的な緊急事態だから今すぐ情報が必要、ルールを破ってでも拷問するヒーローが必要だって展開。[1]
数年後には、現実にも Abu Ghraib や Black Sites でそういう「ヒーロー」がたくさんいたことが発覚する。しかも状況は全然例外的じゃなかった。つまり、責任の逃げ場は、倫理的な歯止めを計算づくで弱体化させるためにも使われるってこと。
[1]https://www.theguardian.com/tv-and-radio/2017/jan/30/24-jack…
Chicago PD を一シーズン見たけど、都合の良い「プロット加速装置」があったね。
刑事と CSI が painstakingly going through the evidence, sifting out clues するべき場面になると、「檻」に容疑者をぶち込んで、殴って自白させてた。
Star Trek: Deep Space Nine には Section 31 が登場した。彼らはまさに 24 のキャラがやったような行動を常習的に行ってたんだ。公式ルートから外れて、 Federation の利益のためならどんな必要なことも、 questionable methods を使ってやった。 Odo がうまく批判してたね:
>興味深いと思わないか? Federation は Section 31 の戦術を嫌うと主張してるが、ダーティな仕事が必要な時は見て見ぬふりをする。うまい具合にできてるだろ?
https://memory-alpha.fandom.com/wiki/Section_31
全てのポリスドラマが、「市民権はダメ」っていうアングルを aggressively に推してるよね。シーズンに一回くらいは、「もしかして市民権って良いかも?」ってちょっとだけ考慮するけど、結局「いや、市民権はダメ」って結論になる。
Dick Wolf のショーの hallmark っぽいね。
彼の息子も手を出してるけど、息子の方は「正しいやり方」を描くことに興味があるみたいだね。
彼のショーは Amazon の On Call っていうやつで、結構楽しめたよ:https://www.imdb.com/title/tt14582876/
DS9 にも実際の拷問シーンがあったけど、それはヒーローが、半分ヒーローで半分アンチヒーロー[0]なキャラに拷問される話だった。それがどこに繋がったかは不明だけど、キャラ開発としてはすごく disturbing なやり方だったね。
Section 31 のアングルは tricky だ。なぜなら脚本家は unintendedly [1]、彼らを文字通り、アルファ・ベータ両象限、そしておそらく銀河全体を slow-burn genocide から救う存在にしてしまったからね。 Dominion は systematically に生命体を subjugate して最終的に eradicate することが知られてたし、 Federation Alliance ブロック( Section 31 の bioweapon が戦争を short-circuiting したおかげで勝てた[2])以外で、 Dominion に抵抗できるほど強い力を持ってるのは… Borg Collective くらいで、それも大してマシじゃなかったし[3]。
だから、DS9 は大好きだけど、番組(と franchise )には unintended な深みがありすぎて、 obvious な解釈はファンの scrutiny に耐えられないことが多いと感じるね。
—
[0]ー The simple tailor was anything but.
[1]ー少なくとも僕の記憶では、 Section 31 は pretty straightforward に、ヒーローによって暴かれて排除される rotten apples として書かれてたと思うけど、 IMO 、それは失敗して、代わりに Deus Ex Realpolitik みたいなものを作ってしまったんだ。
[2]ーあと、彼らのど真ん中に semi-god がいたおかげで、ちょっとした actual fleet-eating Deus Ex Machina もあった。
[3]ーそして、 universe 内外誰も、後者に何が起こったかについては really wants to talk したがらない。最後のシーズンの PIC が tacitly 認めたけど、 blink and you’ll miss it くらいの感じで。
Abu Ghraib とフィクションのTVシリーズ 24 の間に関連性はないよ。 24 の前にこういうことが起こってなかったと思ってるなら、その証拠を見せてほしいね。 TVは現実(あるいはすごく引き伸ばされたバージョン)を反映するのであって、逆じゃない。 24 もこういう類の最初の作品じゃないし。 Abu G で漏れたのは、若い non-professionals が使われたからだろうね。 USA に CIA 、 military intelligence 、そして cops みたいな組織ができてから、おそらくずっと起こってたことだよ。
24 について特に印象的なことの一つは、 9/11 の攻撃から約2ヶ月後に放送が始まったことだな。放送するか編集するか議論があったとしてもおかしくないけど、結果的にタイミングは合ってたし、当時の public mood にも fit したように思える。後のシリーズで、 9/11 やその後の現実世界の出来事がショーの脚本にどう影響したかは興味深いね。
大変な時に諦めるなら、それは信念じゃないよ。ただのコスプレ。
この番組の違いに気づいたし、続いてほしいな。制作陣の意図に関わらず、手続き型よりキャラ重視にしたのが話に影響してるかもね。権力者の描写を深くすると、容疑者の権利侵害が分かりやすくなるのかも。
面白いのは、拷問された奴はいつも悪者だってこと。うっかり善人を拷問しちゃった、なんてことはないんだよね。
弁護士が解説する”ポップアップビデオ”風の刑事ドラマが見たいな。”Officer Jones”が証拠の連続性を台無しにしたとか、”Flabbodell vs Borkweather”の判例でX時間以内に弁護士に会わせなきゃなのに時間切れとか、”番組の舞台の州でも禁止されてる交通検問”とか、具体的な例付きで。
もしそう思ってるなら、番組を2ヶ月で作って撮影するわけないじゃん。ずっと前から企画されてたんだよ。
USAが拷問してるのを擁護する時、Cheneyが”24”を引用しなかったっけ?
>Section 31の描写ってトリッキー?制作者が無意識に彼らを宇宙の救世主にしたからって。でも、”Jack Bauer”も拷問で”America”を救ったじゃん。全然トリッキーじゃないよ。道徳的にグレーな”悪いけど、ないとヤバイ”って正当化こそ、ああいう物語の要なんだし。
こういう観察の悲しいとこは、現実でも結構同じことが起こってて、多くの人が結局お縄になるってこと。だって、不当な扱いを指摘してくれる良い弁護士もいないし、目の前に司法取引がぶら下がってるんだから。
直結してるよ。”Antonin Scalia”判事は”8th amendment”の制限や、”extraordinary rendition”や”enhanced interrogation”の重要人物。彼は公の場で何度も”Jack Bauer”を引用して、拷問禁止は無理だと主張。”Jack Bauerならどうする?”って考えに従わないのは幸い、って言われた時、”Jack Bauer”は”Los Angeles”を救った、彼を有罪にするの?って返したらしい。
>”DS9”にも拷問シーン。ヒーローが半ヒーロー半アンチヒーローに。GarakがOdoを拷問した件なら、”24”とは違うね。Garakは明確に”悪者”側で、しぶしぶやってて、他にやらせるよりマシだったから。つまり、”DS9”は拷問を明確に悪く描いてた。彼らが宇宙を救った件は、病気で”Founders”が弱ったからかも。結果に関わらず、”Section 31”を肯定してるとは思わないな。主人公たちは倒そうとしてたし。
これさ、Chomskyの”Manufacturing Consent”を思い出すね。
この定義は単純すぎ。現実で信念なんてそうそうないし、倫理的に考えるならもっと複雑だよ。物事を白黒ハッキリさせるのは現実ではバカげてる。BatmanがJokerを殺さないのは話の都合で、現実なら殺すべき。でも、Batmanみたいに信念を持ちつつ例外を認めるのは理にかなってる。ルールには例外が必要で、白黒思考はフィクションの世界だけにしとこうぜ。
これは戦争中の残虐行為の動機、「大目標のためなら犠牲は仕方ない」って考えに繋がるね。歴史的使命感で行動する人がいて、戦争犯罪は忘れられて既成事実だけが残る。民族浄化や植民地化も同じで、侵略じゃなく既成事実を作って正当化するんだ。記事のテーマ「責任の消失」と関連深いかも。
でもさ、親愛なるあなた、我が国は権威主義国家、ゴホゴホ、ですよ。ほら、腐敗とは無縁で全知全能の指導者がいるっていう社会で、だからあなたには許されない、ゴホゴホ、んですよ。権威に疑問を呈するのは爬虫類みたいな誹謗中傷者だけだってことになってますから。
The Dark Knightを取り上げたのは面白いね。Jokerは自分が社会の鏡だって言ってるけど、それにまあまあ同意かな。
彼はシステムの内部にいる人間を使ってBatmanに立ち向かってて、実際成功してるし。
システムがこんなに陰湿に腐敗してるなら、Jokerを殺しても何も得られないよ。
Star Trek DS9のSection 31の話ね。あれは悪役として書かれたのに、状況が絶望的だったから結果的に薄い灰色に見えちゃったんだ。ライターは意図してないけど、「目的のためなら手段を選ばないか」って問題を結果的に提示しちゃったんだよね。Dukatのエピソードも似たようなもんで、ファンが深読みしたからライターが改めて「あいつは悪役だ」って念押ししたんだよ。記事のテーマ(倫理、手段と目的)と関連深い例だね。
別の見方としてはさ、これって同意を求める賢いやり方だとも言えるよね。
トライアルバルーンみたいなもんで、実際にやるわけじゃないけど。
大衆がそのキャラクターを賛成するかどうか見て、その情報でどう進めるか決めるんだよ。
