Scribble at 2024-07-15 21:10:08 Last modified: 2024-07-15 21:17:43
情報セキュリティにおいて「危険」あるいは「無効」と言えるスタンスや技巧があり、しばしば「セキュリティ劇場(security theatre)」などと呼ばれる。要するに情報セキュリティ対策に邁進しているかのようなパントマイムを踊っているにすぎないというわけだ。僕も、情報セキュリティの実務家として、こういう踊りを踊らないよう注意はしている。特に弊社のようなプライバシーマークを始めとする認証や認定を受けている事業者では、既存の規格や規範で求められる対策を実装したり実施しているだけで「十分に」「安全」であるかのような錯覚に陥りやすいため、公的な第三者認証を受けていればなおさら注意が必要だ。
というわけで、上から一つずつ確認してみると、まず第一にディフォールトで情報資産へのアクセスを許可するような設定は危険である。もちろんだが、許可されたエンティティだけが情報資産へアクセスできるように機密性のレベルを維持することが望ましいので、ディフォールトではアクセスを禁止して、認証などの処理を経て許可されたエンティティだけをアクセスさせるように設定を改める方がよい。典型的な事例としては、オンライン・コンテンツで特定のディレクトリにアクセスする際のベーシック認証や IP アドレス制限などがある。.htaccess などで、ディフォールトでは deny from all のディレクティブを設定し、許可されたエンティティだけをアクセスさせる。その際の条件として、ベーシック認証の ID とパスワードを要求したり、特定の IP アドレスからのアクセスだけを許可するといった手法がある。
次に、第二と第三は似たようなことを言っていて、つまりは脆弱性と脅威のどちらについても、見つけたものに対処しているだけでは不十分だという話である。これはどちらもその通りで、根本的なところで改められないといけないという点は分かる。ただ、そんなことが最初から分かっていれば誰も苦労はしないわけなので、根本的な問題がどこにあるかを見つけるために、脆弱性や脅威という二つの観点やケースから探っているというのが実情だろう。よって、言っていることは分かるが feasilibity のない指摘だと思う。それこそ、評論家のコメントにすぎない。
だが第四の指摘は、僕としては十分に賛同できるものだと思う。それは、「ハッキングを称賛するのは愚行である」というものだ。初期のコンピュータ技術者や、巨大 IT ベンチャーを起業した何人かの経緯から、非常に多くのジャーナリストや学者までもが「ハッカー」を技術や産業あるいは学術を進展させるヒーローのロール・モデルであるかのように見做していて、現に多くの文書や映画や小説などに描いているが、それは全くの錯覚である。こうした、派手な事績を残した一部の人間を過大評価するのはセンセーショナルな英雄を好む人々、つまりは凡人によくあることだ。それはつまり、自分たちとはかけ離れた才能や運で成功した特別な人間の特別なストーリーをユニークな成功譚なり英雄譚として作り上げれば、自分たちの怠惰や無能さを免罪できるからである。
そして第五の間違いについても、あるていどは同意できる。僕も情報セキュリティの実務家として企業で色々な研修を実施しているが、本来なら与えられたタスクに従事するだけで安全に業務を遂行できるようなシステムとか手順を提供することが望ましい。それは、営業やデザイナーに暗号論を理解するための数学など理解できないという偏見とは関係のない話であって、仮に僕のような大学院で確率論を研究していたようなデザイナーがいても同様に、そんなことを知っていようといなかろうと安全にデザインできる環境を整備することが理想だろう。「外部の事業者とファイルを共有するときは、アクセスするためのパスワードを設定しましょう」と教育するくらいなら、自動的にパスワードがかかるようなシステムを導入する方がよい。そして、もしそれを面倒臭いなどと感じて、勝手に無料のファイル共有サービスを使って会社と無関係なところで外注にファイルを渡すような人間がいるなら、それは教育の問題ではなく、はっきり言えば懲戒解雇にして「ビジネスの道具を持ち替える」という話でしか無いのだ。結局、日本に限らずどこの国でも甘いと思うのは、こういう勝手なことをやる社員をその場でクビにすることを「冷酷」だの何のと描く風潮があり、そういう勝手によって会社が倒産したら同僚の生活がメチャクチャになるという可能性を無視したり軽視することにある。そして、これは社内でも強調していることだが、本当に電通などから取引停止になるくらいの事故や情報漏えいが起きたら、サラリーマン一人の資産や(自殺による)生命保険なんていう僅かな金で補填できるような被害では済まないのである。
最後に、しばしば経営関連の本でも推奨されることだが、ともかくむやみやたらと「プロアクティブ」であることを良しとする人々がいて、「なんとかファースト」というスローガンを掲げて数々の脱法行為を推奨するリバタリアンのような連中に多い。しかし、記事にもあるように "It is often easier to not do something dumb than it is to do something smart"(何か優れたことをやるよりも、何か馬鹿げたことをしない方が簡単である)。つまり、なにかやれば失敗する可能性の方が常に高いのであって、それはみなさんが有能であろうと凡人であろうと無能であろうと(可能性の程度が違うだけの話でしかなく、定性的に言えば)同じである。もちろん、これは事後処理だけやっていればよく、事前の対策を講じる必要がないなどという意味で言っているわけではない。これはつまり、情報セキュリティ対策のデバイスや新しいサービスに何の確証もなく飛びつくべきではないといった主旨の話である。