Scribble at 2023-08-12 11:53:27 Last modified: 2023-08-13 08:26:38
ブルース・シュナイアーも加わっていることだし、そのうち山形浩生氏か YomoYomo 氏が記事にするであろう。ちなみに、僕はスノーデンに関連する書籍とか記事というのは、ほぼ全く目を通したことがない。もちろん、僕は懐疑派(スノーデンは他の国を撹乱するためのブラフ担当であるとか、NSA の内部抗争という事情から特定の人物の評価を落とすためにリークさせられているだけだといった)ではなく、おそらくスノーデンが語っていることの多くは事実であろうと思う。
でも、あまり彼の語っていることを細かく知る必要はないというのが僕の、つまり企業の情報セキュリティ・マネジメントを預かっている実務家としての意見だ。そして、細かいことを無視してよければ、大枠として「政府機関なんて信用できない」とか「アメリカの諜報担当部門は、何かしら違法なことをやっているであろう」などという一定の想像は、それが偏見だろうと差別だろうとリスク対策である限りは正当化される。それは、企業の人事において前科者の採用を積極的に避けることと同じである。すると、ディテールであろうと大枠であろうとスノーデンの言っていることを(傍証や追認としての価値はあっても)さほど重要視するべきでもないというのであれば、プライバシーマークを20年近くにわたって運用している chief privacy officer という役職にあろうと、スノーデン関連の本を全く読まなくても見識として何かが決定的に歪むという心配はないわけである。
もちろん、政府、そして政府を介して国際機関や他の国に対しても牽制をかけるための材料にはなる。それは彼のやったことの効用として認めてもいいが、根本的な事実として忘れてはいけないのは、エドワード・スノーデンは国家機密を漏洩した犯罪者であるということだ。それが正義や善のためであろうと、国家機密を漏洩・暴露したことに変わりはない。なので、やはり彼のような人物をセキュリティの担当者、つまり僕自身の部下として雇うかと問われたら、僕は「ノー」と答えるしかないのである。それは、どれほど一部のエンジニアが聖人扱いしようと、Winny の作者が違法行為の幇助をやったことに変わりはないという事実によって、彼を(現在も生きていたとして)当社で雇うつもりはないという意味と同じである。
なお、どうして細かいことは無視してもいいのかというと、細かいことは簡単に変更・修正・破棄できるため、それまで通用してきた手順とか方法は、漏洩した時点ですぐに無効化されてしまうからだ。通常、企業の情報セキュリティ対策でも、或るアカウントが漏洩したら管理画面でアカウントを失効させる。そして、漏洩させた当人にヒアリングして、パスワードを安易な仕方で設定していたら変えさせるし、他にも同じようなリスクがあると疑われるのであれば、各人でパスワードを勝手に変更したり設定できないようなグローバルな設定ができるなら、そちらに変更して改めてパスワードを発行するといった対策をとる。同じことは通用しないようにするのが、いやしくも組織の機密を預かっているプロの仕事というものだろう。