最近の戯れ言

no extension

最近 Twitter で毒を吐くことが多くなったのだが, 今回はその中からいくつかピックアップしてみる。

ジーク・サイバー!

ぶちウケた(笑)

文才もなくて政治家にもコネがなくて, でもこのアジテーションに魂が惹かれてしまった貴方, クリエイティブ・コモンズ・ジャパンに寄付をするというのはいかがでしょう。 ちなみに私は CCJP の回しもんじゃないですよ。 あぁ, いや, 賛助会員の申請通ったから回しもんでもいっか(笑)

まぁ無理に CCJP じゃなくてもいいと思うけど, 寄付などの行為を通じて様々な活動を応援していくというのはありだと思うよ。

Apple は Microsoft がかつて通った道を進むのか

最近嫌いな TVCM が2つあって, ひとつは ocn の CM で, もうひとつは Mac の CM。 どちらも脅威を煽って「うちは安全」と落とす典型的なマッチポンプ広告。 まぁセキュリティ業界でマッチポンプ広告は珍しくもないけど, ここまであからさまなやつも珍しいだろう。

Windows 用 Safari はまだ出たばかりのβ版だし, セキュリティで問題なのは(限度はあるけど)インシデントの数じゃなくてレスポンスの内容にあるわけで, 現時点で Safari について評価を下すのは早すぎるのかもしれないけど, Apple の対応を見るとどうしても1990年代後半の Microsoft を連想してしまう。 複数の製品を抱き合わせ商法的に押し付けようとしてる点も同じ。 Mac ユーザはどうか知らないが Windows ユーザは過去の経緯からセキュリティ・インシデントに対する評価はシビアだ。 そこを読んで先回りするくらいの対応じゃないと Safari やその関連製品は失敗すると思う。

ところで, 今のブラウザ競争はちょっと面白い。 これは1990年代後半の「ブラウザ戦争」とは意味合いが異なると思う。 手元のパソコンにおいて Web によるネットワーク・サービスが支配的になってきているということは, ブラウザはインターネットという超巨大 OS のシェルになりつつあるということだ。

がさ入れソフト

正直言ってこの製品については「んなアホなツール使うところあるんか?」と完全にスルーしてたのだが, なんか色々話題になってるらしい。

法的リスクについては多分 inflorescencia さんの記事の通りで合ってるんだと思う。 どう意地悪く解釈しても(少なくとも現時点では)ソフト自体に何らかの違法性があるとは思えない。

プレスリリースを読んでみると, イメージとしてはパソコン内のファイルをサーベイして持ち主がとっくに忘れ去ってるような機密文書も見つけて回収してあげますよってな感じかな。 でもキーワードで検索するってのは筋が悪すぎ。 spam 対策で使うようなベイジアンフィルタみたいなロジックで探すってのならまだ分かるけど。 (それなら社内の文書を片っ端から食わせてデータベースを作り, それを基にサーベイすればいいので, キーワードの選択で担当者が頭を悩ますこともない)

inflorescencia さんの記事の追記部分を補足しておくと, このツールの問題は能動的失敗が多発しやすくセキュリティ担当者への負担が半端じゃないってこと。 能動的失敗が多発すると誰もその対策を信用しなくなる。 「オオカミが来た」な状態になってしまうのである。

ちなみに「能動的失敗」という言葉は 『セキュリティはなぜやぶられたのか』 の p.77 あたりに出てくる。 少し抜き出しておこう。

「セキュリティシステムの問題は大きく分けてふたつのパターンがある。 ひとつ目は攻撃に対する防御が失敗するもの。 (中略) とるべき対策が実行されない受動的な失敗である。 ふたつ目は間違ったときに対策を実行して防御が失敗するもの。 (中略) とるべき対策を実行したがゆえの能動的な失敗である。」

このツールの場合, 失敗の内容としては目的の機密文書でないものを検出してしまう失敗と目的の機密文書を検出できない失敗がある。 セキュリティ担当者は後者の失敗を可能な限り避けようとするだろうから (そのためには考え得る限りのありったけのキーワードをぶち込む必要がある。手動でだ!), 前者の失敗が多発するだろう。 そして回収(っていうか押収)した膨大なファイルの中から目的の機密文書を探し出し残りは持ち主に返さなければならない。

これだけの事をするのにどれだけのコストがかかることか。 ツールや回収サーバの調達コスト(従業員が1,000人として 2,500×1,000人+300,000×2台)だけではない。 コンフィギュレーションの検討, 従業員へのツール配布, ツール使用の徹底と使い方等の教育, そして膨大なファイルの中身をひとつひとつチェックして確認する不毛な作業が待っている。 返却すべき文書が多い場合, それらのファイルに紛れて本来削除すべきファイルを見落として返却してしまう可能性がある。 逆に本来返却すべき文書を見落として削除してしまうこともあるだろう。 しかもこれだけやっても私物パソコンから機密文書を完全に回収できるわけではないのだ(少なくとも証明はできない)。 従業員が派遣社員とかで複数の会社の業務に関わっていた場合は(他社の機密に触れることになるので)このツール自体使えない可能性もある。

私がセキュリティ担当者ならこんな不毛で筋の悪いツールは全力で拒否する。 こんなことをするくらいなら, 従業員の私物パソコンの利用歴をヒアリングして, 機密文書を持っている可能性があれば(つまり私物パソコンで業務作業をしたことがあれば) OS 丸ごと再インストールするよう指導と確認を行ったほうがまだマシだ (もちろんそのためのコストは負担してあげればいい)。 しないけどね。 普通は「私物パソコンで業務作業を行わないこと」と「過去に業務作業を行った私物パソコンでは Winny 等のファイル共有ソフトを導入しない」のふたつを徹底させるような対策を行えば十分。 どうしても Winny が使いたいなら, それこそ OS から丸ごとインストールしなおして Winny 専用マシンにでもすればよい。 そこから先は own risk でお願いしますって感じ(笑)

とまぁ, 私がこのツールのプレスリリースを読んで感じたことはこんなとこ。 私はセキュリティ専門家ではないので, もしかして専門家から見れば大絶賛なツールかもしれない(ので鵜呑みにしないように)。 まぁ Winny 問題が取り沙汰されてから, それこそ雨後の竹の子のように「Winny 対策ツール」が出てきたけど, なんだかなぁってのが多い。 企業では文書の機密保持は古くて新しい問題であり, どこもそれなりの対策は行っている。 Winny 等のファイル共有ソフトを媒体とした情報漏洩は漏れたときのインパクトが大きいのでリスクも高めだが, その対策に特別なものは必要ない。 いつもの対策の延長線上で考えればいいのである。 いい加減セキュリティ対策企業のマッチポンプ広告に踊らされるのは止めようよ。