2009-6-1

Chaotic Next Stage                 　　　　　　第５号

                                                  発行責任者  稲崎義明

セキュリティについての一考察（４）

これまで、これからのセキュリティをどう考えればいいのかを考えて見ました。どうでしょうか。いろいろ考える上で問題だと思うことがあります。これは別にセキュリティに限ったことではないのですが、いろいろなことが分業され、専門化されていることによって、いろいろな弊害が出てきているのではないかということです。どういうことだかわかるでしょうか。つまり、システムを作る人はシステムを作るだけ、それを使う人は使うだけ、セキュリティなんかはどちらかといえば管理するほうですが、管理する人は管理するだけになっているということです。そんなことは当たり前だと思われますか。そんなことは無いのです。初期のシステムは、やはりシステム自体が初期段階で完成度に自信が無かったからでしょうか、いろいろな分野の人が集まって作ったものです。そんなこと今だって十分にやっているといわれるかもしれません。そうでしょうか。ちょっとセキュリティから外れて、システムの開発、改良を考えてみます。今から１０年や２０年前であれば、開発の初期段階から操作する人が入ったりしていろいろな意見を出して作ったのではないでしょうか。今は、本当に使っている人の意見はどこまで集められているのかわかりませんが、システムの改良となると、ユーザ側もユーザとして専門家となった人が中心で、本当に使い始めの人の意見なんか、あまりいれられてはいないのではないのかと思ったりします。これまでこうしてきたからだとかということが中心ではないのかと思います。つまり、開発側がどこまでエンドユーザのことを考えて作っているかということです。システムから作るのか、ユーザ側から作るのかということです。今から１４〜５年前にお客様に言われたことがあります。「システムの内容はわかったけど、実際使う女性（このときは失礼な話ですが「おばちゃんたち」といわれました）が使っていいと言わないと導入できないからね」と。中小企業だからですが、そんなものです。どれだけ立派なシステムでもエンドユーザに使ってもらえなかったらだめなんです。

では、セキュリティに話を戻します。ここで言いたいのは、どれだけこうしたほうがセキュリティレベルが上がる、こうしたほうがベストに近くなるといっても最終的には人間の問題だということです。これまで、いろいろ策が講じられてきました。もう少し、もう少しということで、だんだんいろいろなことが追加になっています。一方、セキュリティに関する教育がどこまでなされてきたかということがちょっと疑問になったりします。前にも書きましたが、どれだけ策を講じても逃げ道は必ずあります。複雑なパスワードを半年に一回変更するにしても、一度に複数回変更してしまえば、また同じパスワードが使えるのです。使っていなければ自動でログアウトする対策にしても、やろうと思えば、定期的にアクセスした振りをするプログラムを使えば、ログインしたままにもできます。やり方はあるのです。最終的には人間性にかかわるところになります。先日どこかで、会社の社外秘情報（電子データ、紙を含む）を自宅に持って帰っていた人がいました。その人はまじめだったんです。何かあったときにすぐに対応しなければいけないからという理由でもって帰っていただけなのです。以前はどれだけ自宅に仕事を持って帰っていた人がいたでしょうか。まじめな人は特に今でもあまり変わっていないでしょう。自分だけは大丈夫という考えすら持っていないでしょう。

これからのセキュリティですが、こうしなければだめだ、ああしなければだめだという考えに凝り固まった人では、うまくいかないような気がします。まず教育（教育の仕方にもいろいろあると思うのですが）で、次が、さりげないセキュリティ対策ではないでしょうか。　　　　　　　（連載終了）