Scribble at 2022-01-13 13:49:01 Last modified: 2022-01-14 16:05:47

昨日、ジュンク堂でマイナンバーや個人情報保護法の棚を眺めていると、こんな本が出ていた。投資で大儲けした人物による秘密情報の管理を指南するという体裁で、もちろん著者は情報セキュリティの実務家でもなければ何らかの個人的な実績があるわけでもない。しかし、秘密情報の管理手法として 1Password のようなクラウド・サービスを利用する宣伝合戦と漏洩事故による非難というシーソー・ゲームの上でしか秘密情報の管理について語れない嘘つきども（または無知な連中）とは違って、著者は現実の金融という世界での「リスク・マネジメント」を理解しているのだと思う。それゆえ、本書は手書きのノートで秘密情報を管理することにも利点があると説くことを主旨としているが、オンライン・サービスにも一定の評価をしている。メモ帳に書いておく方が有利な点もあるという主張は、パブリシティ狙いで暴論を吐く元２ちゃんねる管理人とか、３周遅れのイーロン・マスクといった連中の〈逆張り芸〉ではない。

ただ、著者が推奨しているメモの内容を見ると、やはり情報セキュリティの実務家としてはコメントしておきたくなる脆弱性がある。まず、記入するべき項目の名前を設定するのはダメである。つまり、パスワード管理の〈専用ノート〉みたいなものを使ってはいけないのだ。そういうものは既に市販されていて、大きな文具店に行けば小さなノートやシステム手帳のリフィルとして売っているが、あれも同じ理由で使ってはいけない。なぜなら、ID の記入欄とかパスワードの記入欄などと指定されたところへ書くと、その手帳を拾ったり盗み見た人物にとって、どの文字列が ID であり、どの文字列がパスワードなのか、何の苦も無くわかってしまうからだ。そういうメモは、どれが ID で、どれがパスワードなのか、ご丁寧に他人へ教えているようなものである。

なお、僕は全く同じ趣旨から、ウェブサイトのログイン・アカウントとして、メール・アドレスを ID に設定するという悪習はやめるべきだと思っているし、僕が仕事で管理システムを自力で開発するときは、ログインに「認証コード」という文字列しか要求しないように仕様を決めている。そのシステムを使う人間が固定であり、誰なのかが分かっていれば、各人にユニークな認証コードを設定して配布すればいいだけであり、ID / PW のセットで認証する必要などない。そんなことで confidentiality のレベルが高くなったり、強く保護されるなどというのは、はっきり言って錯覚である。それどころか ID がメールアドレスだと推測されやすいし、同じ会社の人間が攻撃する場合は既知の情報なので、逆に脆弱なシステムだと言いうる。

それから本書についてコメントするべき二点目は、この本の付録としてパスワードの記録メモというフォーマットが印刷されているのだが、本の一部に秘密情報を記録するなんておかしい。確かに、自宅に置いておくメモ帳には極端な可搬性は必要ないが、だからといって本の一部に記録するというのは、火事が起きたり洪水で家が襲われるというときに、持ち出しやすい媒体だとは思えない。書物だから、こういうものは即座に持ち出せない本棚にしまってあったりするかもしれないし、だからといって机の上に放置したのでは「ここにパスワードを書いたノートがあります」と、侵入者だけでなく家族にも大宣伝するようなものだ（いくら自宅にノートを置いてあってもいいとは言え、家族に知られてよいとは限らないだろう）。