Scribble at 2024-01-30 12:42:39 Last modified: unmodified
パスワードや認証情報など credentials と総称される情報を、どうやって他の人と共有するかというのは、もちろん大昔から為政者や軍隊や商売人などのテーマだ。情報セキュリティの技術者が考え始めたのは、せいぜい半世紀くらい前からにすぎない。したがって、技術的な点では過去の成果に学ぶことが少なくても、考え方について過去の成果や意見から学ぶべきことはたくさんある。
パスワードを安全に他人と共有するという目標があるとき、まず最初に考えて決めなくてはならないのは、無関係な第三者が情報を共有する手続きに干渉するのが難しい状況を用意することだ。大昔なら共有したい相手と二人だけで山奥の別荘へ行って密談するとか、あるいは二人だけで静かな海へ船で出て海上で密談するとか、そうした物理的な条件を用意することが多い。時代劇で悪い武士と越後屋が自分たちの屋敷で密談するというのも同じような話である。しかし、このような条件は相手が海外にいたりすると簡単には整えられない。だが、インターネットの普及によって秘密かどうかに関わりなく大量の情報を即座に送れるようになったので、相手と何か秘密の情報を安全に共有することに限っても色々な方法がある。
ただ、そういう時代になっても基本は基本として重要だ。つまり、情報の伝達や共有において他人を介在させると、そこから漏れるリスクが高まる。このていどの事実は、たぶん紀元前のローマやエジプトやギリシアや中国の軍人ですら知っていた常識であろう。よって、上記のようなサービスをオンラインのサービスとして利用するということ自体、馬鹿にとっては「サクッと」できればそれでいいのかもしれないし、こういうサービスを使ってどうなろうとメディアなんて何の責任もとらない連中なので勝手に騒いでいればいいわけだが、われわれのような情報セキュリティのプロ、ましてや小さくても企業において法的な責任すら負っている(個人情報保護管理者は、もちろん業務の用に供する個人情報の取り扱いについて法的な責任がある)者としては、こんなサービスを LIFE や万代の特売品みたいなお得情報として撒き散らす連中というのは、非常に困るわけである。こういう事例でも分かるように、英語の文章を読めるというていどのことだけでは、人の知性や誠実さというのは全くわからないのである。
よって、もちろん企業として運用するなら、たとえソース・コードを使って自力でサーバを建てるとしても、ふつうは実装するのがレンタル・サーバや IaaS であるか、それとも自社の執務エリアにあるサーバ室で動いているマシンであるかによってリスクの評価は全く違うし、利用する回線も共用のインターネット回線なのか専用回線上の VPS なのかによっても違うだろう。もちろん、これはリスクという概念の基本を知っていれば常識と言えるが、これだけのことを事前に考えたり対処しないといけないのは、そこで扱うべき情報の価値が高いと判断しているからである。逆に言えば、オンラインで、誰が運営しているのかも分からないウェブ・アプリケーションでパスワードを共有するということは、そこで共有しているパスワードと、そのパスワードによって機密性(confidentiality)というレキュリティ・レベルが守られる筈の情報資産の価値が、そのていどのものだということでしかない。ガラクタが盗まれないようにするだけのことなら、クズみたいな道具でいいというわけだ。もちろん、みなさんの資産や情報がそのていどのガラクタだと思うなら、「サクッと」好きにすればいい。