『情報セキュリティの敗北史』を読んだ。
こんな時代だし遅ればせながら何か情報系の資格を一つぐらい取っておくかと、IPAの情報セキュリティマネジメント試験を受けた。その学習のさなか目に止まったのがこの本で、結局読んだのは試験の後のことだった。結果として、学んだ概念や用語が数々登場し、非常に読みやすく、それだけでも試験を受けた甲斐があったというものである。
セキュリティをいかに自分事と捉えられるか、あるいは自分事と捉えさせられるかという点は難しい。過去において、自分には盗まれて困るような情報などなくシステム上の脆弱性を悪用されても明確な被害がない、といった感覚から、多くの人が、情報セキュリティとは専門家のもので自分には関係ない事柄だと認識していたという。それは正直よく分かる。セキュリティを気にすることが、いかに自分に利益をもたらすかをイメージできないのである。それどころか、逆にセキュリティを、面倒くさく難しいできるだけ触れたくない存在だと感じてしまう。
あらゆるソフトウェアがユーザーによって使用される以上、ユーザー自身においてもセキュリティ的に好ましい行為をとってもらう必要がある一方で、誰もがそのような行為を選択してくれるかは分からない。そうすると、ユーザーに左右されず、基本的にセキュリティが確保されるように設計を行うのが望ましい(セキュリティ・バイ・デザイン)。このあたり、マイクロソフトにおける、開発上で何を優先するかに係る思想の変遷は面白い。あるソフトウェアにおいて、それを使用する人口が多ければ多いほど、開発側が果たすべき責任も大きくなる。
そのように設計側が努力を重ねた結果、攻撃の対象がユーザー側に戻ってくるのは当然とも言える。その間、ユーザー側のセキュリティ意識も向上はしてきただろうが、感情的な部分は正直どうしようもないという気もするのである。誰だってフィッシングメールを見たら焦るし(特に迷惑メールフォルダに入っていないやつ)、SMSが送られてきたらビビる。そこで「そんな連絡が来るはずない」と思えるかどうかは、もちろん知識によるところも小さくないものの、そこに加えて心の持ちよう、つまり余裕があるかどうかみたいな話にも思える。そうすると、そもそもそういうメールやSMSが目に入らないようにしてもらうのが一番、と話しが戻ってくるので、ユーザ教育がセキュリティを確保するための両輪を成すのは変わらないにせよ、仕組みの方でどう安全を担保するかが重要なのは変わらないように感じた。
