2009-3-15

Chaotic Next Stage                       第3号

                                                  発行責任者  稲崎義明

セキュリティについての一考察(2)

 

現在では、実にいろいろなセキュリティ対策が採られているものと思います。パソコンを使うのには、BIOSのパスワードに始まり、OS起動のパスワード、その前にHDDを使うためのパスワードがあったりします。OSが立ち上がっても、アプリケーションを使うためにはまたパスワードが要りますし、このごろでは欠かせなくなったメールを見るためにもパスワードが必要になります。実際、毎日これだけのパスワードを使っているわけです。実際の仕事を始めるまでに四つも五つもパスワードを入れないといけない。これが現実です。そのパスワードも、6ヶ月ぐらいで変更するように。また、すべて別のパスワードにするほうがいいと言われています。確かにそうでしょうし、セキュリティレベルを高くするという面からすればそうなのかもしれませんが、実際はどうでしょうか。たくさんあってもほとんどのパスワードが同じであったり、6ヶ月に一度変更しても、すぐ元に戻すこともできたりします。本当にそれがよい方法なのでしょうか。セキュリティ対策をいろいろ実施し、ユーザに大変な環境での利用をお願いしてきたほうとしては、今どうなのだろうかと考えたりします。セキュリティ事故事件を防止するために、対策は何があるかを考えていくと、いろいろな対策が考えられ、あれもしなければ、これもしなければとなり、たくさんのパスワードといった関所ができてしまうことになり、使いにくいシステムになってしまっているのではないでしょうか。今実施しているセキュリティ対策を考えてみてください。ほかにもいろいろと対策がまだあるものと思います。それらすべてをすることが本当にセキュリティ対策となるのでしょうか。

一方、個人情報についても同じようなことがいえるような気がします。2005年に個人情報保護法(正式には個人情報の保護に関する法律)が施行され、突然のように注目されるようになりました。確かにこれまでは、卒業名簿などが公然と販売され、犯罪に使われたり、ダイレクトメールのあて先に使われるなどいろいろと問題はありました。しかし、個人情報保護法施行後、その対応は極端とも言える状態で、病院などで診察の順番が来ると、これまで名前を読んでいたものが番号になったり、病室には入院患者の名前を掲示しないなどの状況になったりしました。このようなことはどうなのでしょうか。果たして本当に望まれる状態なのでしょうか。なんだかちょっと違うような感じを持つのは私だけでしょうか。だいぶ前に国民総背番号制の話が出たときには(実際いつの間にかそうなってしまっていますが)、あれだけ番号で個人を識別することに反対があったのに、「あれれ!」と思ってしまうこのごろです。

話が少し別な方向に行ってしまいましたが、現在のセキュリティ対策の進んでいる方向はいかがなものかと感じています。セキュリティレベルを上げることがすべてに優先するような感じで対策を進めることは、それだけにかかわっている方々にとっては当たり前かもしれませんが、また別の方向があるのではないかと考えます。締め付けるだけ締め付けてしまっても、所詮最後は人間が行動するわけですから、完璧はないものと思います。完璧になることを思考して対策に対策を重ねるのがこれまでのやり方ですが、ある程度のレベルを達成しているのであれば、別の考えを持って対応していくのもいかがでしょうか。対策は、営業活動には障害、足かせになっていることは事実だと思います。セキュリティだけを考えるのではなく、全体を考えて対策のやり方を考える。そのような段階に十分に入っていける状況になっていると考えたいのですが。       (次回へ続く)