Scribble at 2025-06-14 10:41:46 Last modified: unmodified

このような事案に際して、まず最初に情報セキュリティの実務家として言っておくべきなのは、ID やパスワードといった認証情報は、自分でどれだけ安全に管理していようと、それを他人の運用するシステムへ通信して利用している限り、相手のシステムから漏洩するリスクを想定しておかなくてはいけないということだ。このところ「ゼロ・トラスト」というフレーズを IT 系のサイトでも見かける機会が増えているようだが、これは情報セキュリティ業界の言い訳や開き直りではなく、情報セキュリティに「完全」はないという常識を言い換えただけである。完全ではないからこそ、どこかに残留リスクや潜在的なリスクがあり、リスクがあるなら手放しで信頼してはいけないというだけのことである。したがって、「コンプライアンス」などと同じく、いちいち声高に言うほどのことではないのだが、こういう業界にもマーケティング担当者というものがいるし、マスコミも他の分野と同じ程度のレベルしかない連中だから、こういうキャッチーな言葉を思いついたり振り回して日銭を稼いでいるわけだ。しかしこんなことは、情報セキュリティの業界あるいは大学の専門学科に一歩でも足を踏み入れたら、何度でも繰り返して叩き込まれる初歩の知識にすぎない。

Google だろうと Facebook だろうと、相手が認証情報を適正に管理したり取り扱っているという保証はないし、もっと小さい企業が運営しているサービス、あるいは個人が開発して配っているソフトウェアなどは、その挙動や通信方式の設計が未熟で杜撰な運用をしているリスクなどいくらでもある。もちろん、自分自身を過信してもいけないが、大企業のサービスだからといって過信してもいけない。「もしいいかげんなことをしていたら大問題になるし莫大な賠償金を求められるだろうから、うかつなことはしていないだろう」と想定するのは勝手だが、それはあくまでも企業としてであって、その中で働いているエンジニアや DevOps スタッフまで同じていどに考えているかどうかは、保証できない。