2009-5-1

Chaotic Next Stage                 　　　　　　第４号

                                                  発行責任者  稲崎義明

セキュリティについての一考察（３）

ではこれからのセキュリティは、どう考えればいいというのでしょうか。これは、あくまでひとつの個人的考えですのであしからず。

まず考えなければいけないのが、どの程度まであればセキュリティは十分であるのかを判断する必要があることです。完全なセキュリティレベルにする。完璧にするということは、もしかしたら何も仕事をしないことかもしれません。情報を扱えば必ず漏洩のリスクが生じてしまいます。学校の卒業生名簿でもいいですが、そんな名簿を持っていたら、誰かがほしがるかもしれません。これは極端ですが、そんなものです。パソコンでデータを取り扱っていたら、どこかに間違えて送ってしまうかもしれません。パソコンを盗まれたり、落としたりするかもしれません。だからといって使わないわけにはいかない状態になっています。昔のようにすべてを手書きで、紙ベースで仕事をするのでしょうか。すでにそんな状態には戻れなくなっています。また、ＩＤやパスワードをいっぱいにして、いちいち全部別にして仕事ができるのでしょうか。無理はあるのです。確かに、パソコンをなくして、すべてをシンクライアントにすることによってある程度は何とかなるでしょう。でも、今使っているパソコンと同等のパフォーマンスがあるのでしょうか。少しでも、ローカルにデータを保存できれば、保存してしまうのではないでしょうか。それに対してログをとるという方法がありますが、何を持って異常な、怪しい行動と判断できるのでしょうか。そのログを管理者は四六時中監視しているのでしょうか。セキュリティには、完璧はありません。扱っているのが人間である限り。

ひとつ例えばの話です。現在普通の仕事をするのに、たくさんのＩＤとパスワードが必要になっています。確かに、すべてのＩＤとパスワードを、必要となるたびに入力することが最もよい方法でしょう。それは否定しません。しかもすべて別で、定期的に変更する。よくいろいろなところで要求されることだと思います。しかし一方、シングルサインオンという考えもあります。シングルサインオンは、そのＩＤとパスワードによる認証がしっかりしているから大丈夫という考えが基になっています。確かに、簡単なパスワードで、いつまで使っていてもパスワードの変更も必要が無いといったＩＤ、パスワードであれば問題かもしれません。きちんとした、しっかりしたシステムであれば、問題ないわけですが、それでもやっぱりなかなかシングルサインオンになっていないのが現状です。どこに不安があるのか理解できないところもありますが、セキュリティの担当者は、やっぱりなかなか踏み切れないところがあるようです。でも、実際はどうでしょう。たくさんあっても覚えられるわけがありません。まして、何回か間違えたらロックがかかったりするのであれば、ユーザ側も対処するしかないのです。大体同じパスワードを使っているのがほとんどというのが、現実ではないでしょうか。こんなことをいってしまえば問題かもしれませんが、１００％は無いわけですから、ある一定のレベル（このレベルの程度がわからなくて困るのですが）になったのなら、それからはそのレベルを維持しながら、ユーザとしてどう使い易くすることができるのかを考えるのが、情報システムを管理するものの方向性ではないかと考えます。どれだけ厳しい条件にしても抜け道（たとえば、パスワード変更時に、一定パターンで必要回数変更すれば、同じパスワードを使い続けることもできます）はあります。いろいろな条件が意味の無いものにすることもできます。セキュリティばかり考えていては、次につながりません。あれをしてはいけない、これをしてはいけない、こうしなければならないではユーザは疲れてしまいます。ユーザとして使いやすいシステムにしなければ。　　　　　　　（次回へ続く）