Scribble at 2022-07-18 09:59:30 Last modified: unmodified

ここ東アジアの文化的辺境国家においても、このところ「ゼロトラスト時代のなんとか」みたいなフレーズで、馬鹿がセミナーを開いたりものを書いたりしている。たいていは IT ゼネコンのくるくるパーのハンコだけ持ってる名ばかり CTO/CISO とか、中小企業のあぶく銭だけ持ってるワンマン経営者とかに、あれやこれやの「アプライアンス」だのなんのを売りつけるための営業トークで多用される。

もちろん、信頼すべき「アクター」を最小限にしてものごとを吟味したり設計するというアイデアは、情報セキュリティの理屈としては正しい。まともなレベルの情報セキュリティ実務家であれば、マルチ・ステークホルダー全体の利益を考慮しつつ会社の情報資産を守るという目標があるからには、部外者や競合企業はもとより、同僚や社長ですら背任や横領の可能性を疑ってかかるべきである。大声で言わなくても、〈まともなレベルの〉実務家が原則としてそういうスタンスで仕事をしているのは正しいし、現にそうしていることだろう。さて、僕はその〈まともなレベルの〉実務家なのだろうか。情報セキュリティに関しては、そんなことは自分で言うものではないね。もしかすると、それどころか Anonymous のメンバーかもしれんし（もちろん、そんなこと自分で言うわけないんだけど）。

ともあれ、「ゼロトラスト」なんて大声で言うのは情報セキュリティの実務家であればこそ、一種のあほうだと思う。秘匿することで守るセキュリティは弱いと言われるが、全ての技巧が公開鍵暗号のような手法でうまくいくというのも、はっきり言って素人考えだ。情報資産の価値がゼロになるまで秘匿し続けられる保証さえ高い見込みであれば、秘匿という手段に訴える情報セキュリティの技巧を選択してもいいからである。情報セキュリティにおいて最も危険な落とし穴は、それこそ国内の未熟な学者とか、技術評論社や翔泳社から適当な本を出しているというだけの「有名人」、あるいはアクセンチュアだの IIJ だのドワンゴだの mixi だの富士通で CTO やってるというだけのコーディング小僧や業界の「政治屋」どもが言ってることを鵜呑みにする思い込みであろう。

もちろん、信頼して出発するべき最小限の要素は、文字通りゼロである。つまり自分自身すら無知や思い込みや錯覚にとらわれることがあるし、無自覚に誰かを特別扱いしていたりするかもしれないという前提で出発するべきだ。そして、一定の条件を設けながら、どこまで確認すればどこまでを信用していいかという自分なりのモデルをもつことである。それは毎日のように評価や条件が変わるかもしれない。とりわけ、個人データの管理だとかウェブ・サーバの運用という仕事においては、手に入るデータから読み取れる変化に最新の注意を払っていなければならないだろう。

しかし、だからといって「いまやゼロトラストだ」なんて同僚の前で言ってなんになるのか。「俺は、社長も含めてお前たちを信用しない」などと情報セキュリティの担当者に言われて、他の社員（や役員）は、どう反応すればいいのか。「おう、そうか。じゃあがんばって、給料が安い受付の女の子がデリヘルのバイトしてないかどうか監視してくれたまえ」とか取締役に言ってほしいのか？