Scribble at 2024-11-12 08:43:18 Last modified: unmodified

かつてアマゾンでも採用されていた、パスワードの先頭の８文字だけしか認証処理では意味を為さないという酷いハッシュ関数があり、これを知らずに「セキュリティ対策」として使っていた人々は、要するにペナルティの仕組みもしらずに特定の行動を忌避する猿と同じだというわけである。

僕は、企業の情報セキュリティや個人情報保護のマネジメントを預かる Chief Privacy Officer として、こうした security theatre というか馬鹿げた「管理策（controls）」は仕事の邪魔になるだけだから、これまで ISMS だろうとプライバシーマークだろうと、規格に対応しつつ社内規程から続々と放り出してきた実績がある。その代表が、例の「パスワードの定期的な変更」だ。弊社では、実験的に何年かパソコンのパスワードを半年おきに変更してもらったことはあるが、すぐに無駄だと分かった。こちらからパスワードを決めて設定させない限り、何度か本人に変更させていると、どういうルールを作っていても "gundam2008" だの "090909" だのと馬鹿げたパスワードに変更するやつがいる・・・というか、殆どの社員がそんなパスワードになっていた（これは SkySea で社員の端末を監視していた頃の殆ど唯一のメリットだった）。

なので、JIS Q 27002 のような管理策の「ごった煮」みたいなものの有効性について、一つ一つの企業なり現場で検討する必要があるのは言うまでもない。だが、われわれがバナナと脚立を闇雲に怖がる猿のようになっている理由の一つは、何も無知だけではなく、はっきり言えば情報セキュリティの実務家による啓発なり批評が圧倒的に不足していることにもよると思っている。ここでは何度も言っているが、この国には「情報セキュリティ大学院大学」という伏魔殿のような大学があって、情報セキュリティに関する公益性のある情報を全く公表もしないし、出版物としてすら発表もしない。いったい何をやっているのか、まるで分からない機関がある。なのに、ここの教員や出身者は自動的に政府の特別委員会に入ったり、卒業生が次々と都内の巨大 IT ゼネコンやコンサル企業へと入っていく。要するに、われわれの知らないところに特別な「セキュリティ人脈」というのがあって、そのグループの中でだけ予算や人事を制御し、果ては法令や業界規範や産業規格の制定にまで影響を及ぼしている。まだ学術研究では大きな影響力をもっていないだけマシというものだが、こういう素性の分からない連中が我が国で情報セキュリティに関わるルールを勝手に決めたり変更しているという事実がある。

つまり、知らないもなにも、こうした専門家が情報を開示したり、既存の管理策を批評したり評価して公に意見を述べない限り、我々が猿であるしかないのは当然なのだ。それが、上のような喩え話だけで話を済ませてしまうと、寧ろプロフェッショナルには猿に仕組みを分からせる社会的な責任があるという点が抜け落ちてしまう。お前たち情報セキュリティの専門家は、ただたんに猿を笑っている資格などないぞ、ということだ。