2008年01月26日

情報セキュリティとルール(後編)

 PC環境を一世代前の状態に戻してみました。昨年、購入したPCの性能は抜群なのですが、なぜかグラフィック関係が異常に弱く、ロープロファイルなので適当なグラフィックボードが見当たらない状態です。他方、古いPCは5年ほど前に購入しましたが、ウィルスバスターでも重たい状態でこれはちょっとつらいなあと。ただ、グラフィック関係の安定感は異常でして、「GeForce 4 MX420」という「化石」になりつつあるボードですが、不思議なものです。『大航海時代IV』をやったのも、こちらのマシーンでした。データの移転の関係でウィルスバスターをアンインストールした後で再インストールしようとするとエラーが続出して放置していたのですが、トレンドマイクロのサポセンに電話をしてみたら、サイトのFAQに載っている程度のエラーで恥ずかしい思いをしました。アンチウィルスソフトが使えるとなりますと、あとはグラフィックボードを変えてしまえば、古い方がなにかと快適でして、昨年購入した分をデルに見てもらうことが可能に。ただ、バスが古いタイプのPCIですので、なかなか適当なグラフィックボードの入手が難しいのですが。ちなみに、周囲はノートン先生が好きな方が多いのですが、なにせ重くてたまらんという感じ。このあたりは好みの問題でしょうか。

 「道草」が長いのですが、昨日の話の続きです。実は、「ネタ振り」役の方と帰り道が同じだったので歩きながら、会話をしていたのですが、家庭のエンドユーザーでアンチウィルス対策をしている割合が3割程度というアンケート結果があるという話になって、ちょっとびっくりしました。また、脱線ですが、気がつくと、最も使用頻度が高いPCはすべて外国製でして、IBM→ゲートウェイ→デルときて、最近はもう自作するしかないかなと。AMDのデュアルコアの性能のよさにびっくりしましたが、仕事で使う分と遊びの部分のバランスが難しく、仕事でも3Dを使う機会が増えているので、微妙です。もはやPCなしの生活は仕事でもプライベートでも考えることができないので、多少、カネがかかっても、セキュリティの確保は絶対の条件です。盗まれて困るデータはあまりないのですが、使えなくなるのが困ります。そんなわけで、家庭用エンドユーザーの7割程度はアンチウィルス対策をしていないという結果は、ちょっとびっくりでした。もちろん、アンケート調査ですし、サンプルが偏っている可能性があるようなので、この数字を鵜呑みにはできないのですが、思わず耳を疑いました。その方を信用していないわけではないのですが、Windowsだったら、警告が出るんじゃないですかとか、気の利かないツッコミをしてしまったところ、「警告がでないように処理しちゃう人もいるんですよ」と微笑を浮かべながらあっさり返されてしまって、思わず言葉がでなくなりました。

 「ネタ」の段階ではスパムの負の経済効果がメインでしたが、こちらも実感がなくて的外れなことばかり尋ねていたかもしれません。スパムの処理で平均で5分程度余計な時間がとられるということでしたが、なんとなく実感がわかず、ピンとこない。職場でもスパムの処理で苦労している方が少なくないのですが、勤務先のメアドにスパムが紛れ込んだのが2回ほどで、必要なメールが読みとれないほど攻撃されたことがないからでしょう。それでも、スパム対策をしている会社がほとんどではないかと思ったのですが、大手企業でさえ、40台に1台程度はウィルス対策が不十分で、単にスパムに攻撃されるだけでなく、汚染されて他のPCにスパムを発信する「ゾンビ」化したマシーンが存在するとの事で、これもびっくりでした。もちろん、平均ですので、そんなマシーンがないところにはないのでしょうが、アンケートをとるコストが低い大手企業ですらこの状態というのは意外と高い印象です。

 ICTの普及のおかげで、セキュリティの問題は大切だとは感じていましたが、意外と深刻だと気がついたしだいです。ここからあとは、「ひそひそ話」の域を出ませんので、お読みになりたい方は、「続き」をどうぞ。


 ここからは「噂の真相」の域をでるものではありませんが、大手企業のセキュリティの問題以上に、こわーい話になりました。まず、槍玉にあがったのが防衛省。「守屋の怪」のおかげで調達問題が叩かれていましたが、相変わらず、セキュリティの問題に鈍いとのことで、本当に頭が痛い。「防衛上の機密は、値打ちが高いという意識が防衛省にはないという意見さえあるんですよ」という話を聞くと、ゾッとします。昔話になりますが、良くも悪くも、「制服組」はセキュリティの重要さを理屈というより体験でわかっているし、予算措置でPCがちゃんと支給されているけれども、背広組などは私物のPCを持ち込むのが常態化していたそうです。いつ対策がされたのかは聞きませんでしたが、最近になってデルのPCを一斉に導入したとのことで、私の家とたいして変わらないセキュリティレベルだとすると、それはそれで怖いものがあります。それでも一昔前は、セキュリティの意識がある方でさえ、家に持ち帰ったPCを家族の人がいじってWinnyなどを勝手にインストールして情報がだだ漏れになったという「噂話」が絶えなかった世界です。もちろん、「個人情報」も、迂闊に漏れると会社が潰れかねない時代ではありますが、「諜報」(日本の場合、主として防諜でしょうが)が最も重要な分野の一つである安全保障ですら、情報の怖さがいまだに徹底していないというのは信じがたいです。日本人が「情報はタダ」と考える傾向が強いのではないかということは、実はこのような「噂話」が土台ですので、まさに「寝言」ではあるのですが。

 気の進まない脱線ですが、今では私はラプターの導入には悲観的といいますか、無理じゃないかなと。「スパイ防止法」がどうたらこうたら以前に、あまりに防衛省の管理体制がお粗末過ぎて、アメリカがもし日本にF22を売却したら、アメリカさんの方が「大丈夫ですか?」と思うぐらいです。自虐的かもしれませんが、同盟国の機密が漏れることは日本にとってもあまりに大きい損失ですから、そんなリスクにさらさない方がよいだろうと思います。「噂話」にもとづいている割に自分でもきついことを書いておりますが、まったくつながりのないところから似たような内容の話を何回も聞いていしまうと、さすがに動揺してしまいます。根拠がないことを祈るばかりですが、最も高いセキュリティが要求されるであろう防衛省で「噂話」が絶えないことおかげで「疑念」が拭えないです。

 さらに、「ひそひそ話」でしかないのですが、最近はワープロソフト『一太郎』の脆弱性をねらった攻撃が増えているとのことでした。ターゲットは民間企業ではないそうで、私の性能の悪い「CPU」でも官公庁の三文字がパッと浮かんで、ゾッとします。インターネットが普及する以前、大雑把にいえば、1995年あたりが目安でしょうが、その時期からPCでワープロを使いこなしていた方には、『一太郎』のユーザーが多く、Wordを今でも好まない方が少なくありません。これは、あくまでひそひそ話でしかなく、「寝言」というより「妄想」に近いのですが、情報セキュリティの脆弱性は、公的部門に集中している可能性があるということです。民間部門が大丈夫というわけではありません。この点は、先ほども触れたようにアンケートという誤差が大きい手法とはいえ、ある程度、確認されています。問題は、公的部門であり、官公庁は第三者のチェックが入りにくいがゆえに、また、保有している情報の「価値」が高いがゆえに、ことが起きてからでは遅いほど、セキュリティに関する意識の低さは危険な可能性があります。

 このように書くと、なんだ霞ヶ関バッシングかという捉え方をする方もいらっしゃるかもしれません。あまり「犯人探し」には興味がないのですが、もし、官公庁のセキュリティ水準が低いという「噂話」がある程度、信憑性があるとするならば(仮定に仮定を重ねた話にすぎませんよ。最近は、ここまで書いても、読みとれない方もいらっしゃるようなので、限りなく「妄想」に近い話ですよ)、官公庁をコントロールするはずの政治の「怠慢」であろうと。役人が大臣に情報をあげないという話は、今に始まったことではなく、総理経験者がある雑誌のインタビューで「○○省に騙された」と漏らすぐらいですから(これも曖昧な記憶にすぎませんよ。『日経ビジネス』の2000年前後という記憶しか残っておりませんから)、ひどいのでしょう。ただ、そのような役人を上手に使うのが統治の要諦の一つであり、それができない政治家は無能といわざるをえないと思います。1990年代以降のこの国のありようが「混迷」ならば、それは統治の不在であると思います。

 本題からあまりに逸れてしまいましたが、今回の「寝言」は、どうもこの国では情報はタダであるという感覚が強いのだろうということです。情報という語自体が、多義的で多面的ですが、今回、問題にしているのは、大雑把に表現すれば、市場で取引されることはないけれども、不当な方法で入手された場合に発生するであろう損失が大きい種類の情報です。たとえば、このブログに書いてある「寝言」などはこの種の情報にはあてはまりません。最低限インターネットに接続する必要はありますが、基本的に公開されているわけですし、このブログをお読みいただいたことで、お読みいただいた方の時間をムダにされてしまうという点では「費用」にしかすぎないのかもしれませんが、漏れて困る情報などまるでありません。他方で、ICT化が進んで情報セキュリティの問題として意識されていることの少なからぬ部分は、実は、それ以前からあった問題が別の形で顕在化しているだけかもしれないという感覚もあります。

 「情報はタダではない」という場合に、多くの場合、ある人が欲している情報をえるためのアクセスの機会を探索し、交渉し、なんらかの取引を行うために発生する費用が念頭におかれているのでしょう。また、そのような情報が生み出されるのに要する費用も当然、考慮されているのでしょう。今回は、そのような文脈で「情報はタダではない」というときの情報を問題にしたのではなく、もっと素朴に、それが「不当な」(曖昧な表現ではありますが)方法で複製された場合に、私的な意味においてだけではなく、社会的にも損失を発生させる可能性をもっているタイプの情報です。このタイプの情報は、かならずしも情報通信技術ではなく、人づてに漏れるだけでも(むしろ、こちらの方がはるかに影響が大きいでしょう)同様の効果をもたらすでしょう。ICTの普及によって変化したのは、このタイプの情報がwebを経由して潜在的に不特定多数に不適切な方法で漏れてしまう可能性が生じているということだと思います。

 このような時代のルールの「あるべき姿」というのは、率直なところ、私の手にはあまります。ない頭を無理に使ったところで、可能性そのものを事前規制でゼロにするにはあまりに費用がかかりすぎるとか、他方で、事後的な罰則を禁止的な水準にしても、適切なインセンティブを多様な主体に与えることができるのかは難しい点もあります。極論ですが、官公庁の場合、潰してしまうわけにもゆかず、責任者を特定できても、「外道」とはいえ躊躇いはありますが、極刑を課したところで、損失が回復するわけではなく、さらに言えば、「抑止効果」がどの程度、見込まれるかも疑問な点が少なくありません。ありていに言ってしまえば、責任逃れの方便が進化するだけかもしれません。もちろん、なにもやらない方がよいということが言いたいのではなく、経済的規制の分野では自由化が、それ以外の分野では事前規制が強化されるという対照的な傾向が生じていますが、情報セキュリティのルールを考える際には、事前と事後のルールの双方のバランスを考えてゆくことが肝心だと思います。その際に、私の「イデオロギー」は、「肝心のルールを守るためには、よけいなルールをつくらない、あるいはなくしてしまうことが望ましい」ということです。ただし、情報セキュリティの問題に関しては、まだ、対策の不備が事業活動の継続を困難にしかねないということが共通の理解になっていなくては、議論以前の問題になってしまいますが。

 コメント欄では、ルールづくりに関してmitsu様から非常にクリアカットな視点を提供していただきました。個人的な感覚では、ICT化が進んだ情報セキュリティ以前の情報に関する問題が大きく、このような明確なルールづくりの議論に乗せるまでには、検討すべき点が大きいと思います。

 老眼様は、「日本人が性善説なんてのはまぁ、幻想ですね。逸脱行為に対する懲罰システムが働いている、ないしそれが働いていると思われている状態が”性善説”っぽく見えるでしょう」と飄々と語られていて、目から鱗でした。これは情報だけの問題に限らず、これからルールを見てゆく際に、さらに言えば、「空気」なる言葉を考える際にも非常に興味深く感じました。「空気」というのは、言ってみれば暗黙の「逸脱行為に対する懲罰システム」であって、戦中のように、個人の自由が制限されてしまう総力戦の下では否定的な文脈で捉えられるのはやむをえないのかもしれません。せっかくのコメントが気の抜けたビールのようになってしまいますが、法では明示されていない「逸脱行為に対する懲罰システム」というのは、いわば企業や官公庁をはじめ、組織内部の規律ともいえるわけでして、法という「法の下での万人の平等」という精神は、そのような社会を形成する多様な集団の規律と補完関係にあり、もし、法による規制が「不可避」であるならば、規律が崩れ、新しい規律が生まれるまでの過渡的な役割(もちろん、どこかで不要になるという強い意味ではありませんが)こそが、「肝心のルール」なのかもしれません。
posted by Hache at 23:57| Comment(0) | TrackBack(0) | まじめな?寝言
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/10065348

この記事へのトラックバック