Scribble at 2025-12-18 18:02:44 Last modified: 2025-12-18 18:19:06

添付画像

Poor Johnny still won't encrypt

PGP が普及しないという話題なのだが、もちろんこれがそもそも「問題」なのか、つまり「そもそもメールの暗号化なんて普及させる必要があるのか」という問いは敢えてやめておこう。そんなことを勝手にわれわれ実務家が議論するのは無礼だし、不当でもある。それではまるで安直なパターナリズムや行政トリクルダウン(あるいは行政スカイフック)を掲げる宮台真司氏のようなファシスト社会学者と同じになってしまう。

ともあれ、この話題は、エンド・ユーザが情報セキュリティの技術や仕組みを知っていないと情報を安全に運用したり保護できないものなのかという、セキュリティを自主的に高めるための課題という広い話題にかかわる。暗号化の処理を自動化したら、それはそれで「正しく暗号化されているかどうか」に全く注意を払わなくなるというモラル・ハザードが起きる。ユーザビリティの向上で利便性を担保すると、これは情報セキュリティという情報の安全な運用にとっては逆効果になるという興味深い議論も出ている。

なお、上に添付したのは NotebookLM が作成したインフォグラフィックだが、なかなかよくできている。これも会社の研修や教材で利用させてもらおう。

なお、上記の記事などを参考にして音声概要も NotebookLM に作ってもらったのだが、内容の一部に疑問があって、「MD ポッドキャスト」では採用しない(上のインフォグラフィックにも右下に迂闊なまとめ方がされている。ただ、これはもとの記事の影響だろうから、つまりは僕が元の記事や関連する議論に同意していないということなのだ)。なぜなら、音声概要の登場人物は、エンドユーザの多くは暗号化よりもメールがちゃんと届くことを優先するから、セキュリティよりも利便性を優先しているのだと評しているのだけれど、僕はこれは間違った比較だと思うからだ。そうではなく、これは情報セキュリティの CIA triad という区分を使えば、この対比は情報資産を運用するにあたって機密性と可用性のどちらを重視するかという話になるからだ。よって、この比較を「セキュリティ優先 vs. 利便性優先」という、よくある「専門家 vs. 一般人」とか「理想 vs. 現実」の対比にすることはミスリードだと言いたい。通俗的な話や本を書く連中に限って、すぐにこういう対比を振り回して「情報セキュリティのリアリティ」だとか「セキュリティの現場」だとかいうアホ話をし始めるので、なおさらこういうことは声を大にして異議を口にしたいところだ。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る