前回のエントリは「ブログ: 岡崎」史上一番多くのページビューをあつめたかもしれません (^^;
そのおかげもあってか、3つのコメントと1つのトラックバックがいただけました。これだけコメントが集まるのは一時期、大量の中国語のコメントスパムが着たとき以来です(笑)。せっかくですのでいただいたコメント・トラックバックも振り返りながら、もう少し考えを掘り下げてみることにします。

セキュリティの目標

今回のようなセキュリティにまつわるお話をすると、多くの場合、我々(少なくとも私は)は「犯人捜し」をしてしまいがちです。たとえば、通りすがりの方にいただいたコメントのように、

ずばり、責任者の責任逃れのためです。
(中略)
何を言おうとすべての問題が責任者の責任となる米国と、 問題が発生しても責任者は責任を取らない日本との差ではないでしょうか。

というような考えが浮かびます。確かに一理あるかもしれません。ただここで違和感を感じるのは、少なくとも私の知る限り社内外を含め日本でも責任感があり、きちんと責任をとられる（あるいはとろうとする）尊敬すべき方々は少なからずいらっしゃいます。それにもかかわらず、よく言われるように現場と乖離しすぎたセキュリティ・ポリシが同時多発的に発生しているのはなぜでしょうか。

すぐに思いつくのは時間的、コスト的な制約です。現場に合致し、かつセキュアなセキュリティポリシを決めることは簡単ではありません。要件を洗い出すだけでも相当な労力・苦労を必要とするでしょう。いかに責任感があっても、予算も時間もなければさじを投げ出したくなるかもしれません。

次に思いつくのが、個人的には最も重要ではないかと思う点で、目的設定の誤りです。私はセキュリティの専門家ではないので、正確な定義ではない可能性はありますが、個人的にこれが正しいだろうと思うセキュリティの目的はWikipediaにあるように、

保安（ほあん、Security）とは、危険な状態から守り安全を保つこと、また、社会の秩序を守ること（治安）である。

がしっくりきます。もう少しブレークダウンすると「生命や財産、あるいは名誉を損なわないようにすること」、といったあたりがしっくりきます。
一方、今回タイトルにあるように常に全力投球なイメージのセキュリティをやろうとしているところでは、セキュリティの目標を次のような目標としてとらえているように感じます。

1. 決して情報を漏洩させない
2. リスクをゼロにする
3. 事故が発生しても、非難されないようにする

これらの目標は一見妥当なように見えますが、多くの問題を抱えているように見えます。

コスト度外視の防衛

まず、最初の2つ「決して情報を漏洩させない」や「リスクをゼロにする」について考えてみましょう。セキュリティに関するディスカッションを見聞きしていると少なからずこのような目標を掲げているケースを見かけることがあります。そのようなケースのセキュリティ対策に共通していることは目標達成のためにコストを度外視しているという点です。なにせ、完璧を期さなければならないがために、様々なリスクを洗い出し、それぞれに対してあらゆる対策を実施します。場合によっては、10円の被害を防ぐために100万円を投入していることもあるでしょう。

確かに、100万円かければ10円の被害を未然に防ぐことはできるかもしれませんが、このセキュリティ対策によって99万9990円のコストがかかり、結果、財産がより多く失われてしまうような本末転倒な事態になりかねません。

また、もう一つのポイントはすべてのリスクをゼロにすることはできないという事実を認識していない、あるいは軽視しているということです。

すべてのリスクをゼロにすることはできない、ということが自分のなかでよくできた言葉として

明確な攻撃意思を持って攻撃してくる爆撃機の群れを100％排除することは不可能である

という、ジェリオ・ドゥーエの言葉があります。この言葉自体はたしか戦争物の漫画で読んでたまたま覚えていただけですが、同時多発テロのニュースを目の当たりにした際に印象深く思い出されました。「明確な攻撃意志」を持ち、かつ死を覚悟の上、さらにこのテロのためによく訓練された自爆テロ犯グループと対峙したときに、その犯行を100%阻止することはできるでしょうか？いかに金属探知機やX線で武器を持ち込めないようにしていたとしても、凶器になりそうなモノはいくらでもありますし、凶器がなくてもよく訓練され、死を覚悟したテロ犯ならば体そのものが凶器でしょう。

すこし脱線しましたが、情報セキュリティの観点で考えてもリスクをゼロにすることが不可能であるということは明らかです。たとえば大男に銃で脅されれば、情報の入ったPCを引き渡さざるを得ないかもしれませんし、ほかにはコンピュータウィルスによる漏洩についても、チューリングマシンの停止判定不可能の証明による「万能ウィルス発見プログラムは作れない」(参照: アラン・チューリング, Wikipedia)、といったことからも明らかでしょう。

それにも関わらず、できると信じてしまうことによって、本末転倒なコスト度外視のセキュリティポリシを作ってしまっているのだと考えています。

さて、これに関連してトラックバックをいただいた、NE（ねとわーくえんぎにあ）日記: メモをみてみましょう。

一律に最も厳しいポリシーを割り当てれば、そこに所属するメンバーの利便性が大きく損なわれるのは確かです。しかし、本来保護されるべき情報が分からないのは、（事前の）分析不足です。また、保護が手薄になるのはポリシーの不備ではないのでしょうか。ピッチャーのたとえはまったくのミスリード。意味不明です。セキュリティ保護は科学的に遂行されるものだと思っていましたが、違うのでしょうか。

ピッチャーのたとえがつたないのはご指摘の通り(^^ゞ
ただ、保護が手薄になることに焦点を合わせるようにすると、コスト度外視セキュリティ・ポリシにならざるを得ないでしょう。事前の分析にもコストはかかりますし、保護をするにもコストはかかります。また、遺失利益もあるでしょう。セキュリティ保護は科学的に、とおっしゃられているところの真意まではよくわかりませんでしたが、私はセキュリティ保護は「合理的に」行われるべきだと考えています。過度なセキュリティ・ポリシを実施するがために明日食べていくお金がなくなってしまう状況は健全とはいえないでしょう。
合理的とはたとえば、事前分析のコスト、保護のコスト、被害の規模、発生の確率など代表的なパラメータを分析の上、数理計画法を使って合理的なポイントを割り出すような方法です。実際に数理計画法まで使っているケースは見たことがありませんが (^^;;
それでも個人的にうまくやっているなあと感じるところではそれに近い考え方でセキュリティ・ポリシを作っているように見えます。

完全を求める風潮

また話は脱線してしまいますが、情報セキュリティ界には常に完全を求める風潮があるように感じます。それは日本もそれ以外の国のメーリングリストを見てもだいたい同じ傾向で、今回トラックバックをいただいた上記のメモからもその様子がうかがえます。NE（ねとわーくえんぎにあ）日記: メモ

板倉先生のお話の中では、日本ではほんの50年前まではそもそも日本にプライバシーといった概念はなく、家にも低い垣根があるぐらいで、門に鍵すらかかっていない。隣三軒両隣といった、ご近所とはほぼすべてのプライバシーを共有したコミュニティーだったようなイメージです。おそらく江戸時代より脈々とこのような文化が引き継がれてきたことによって、おおよそ日本人に情報の秘匿性に応じた分類などという考え方が生まれてこなかった(そして今もない)のだと思います。

という岡崎の記述に対し、いただいたコメントは。

五人組や隣組といった制度が、封建社会での相互監視という側面を持っていることを御存知でしょうか。

無知ですいません (^^ゞ はい、私は歴史学者でもないし、実際のところ学生時代も日本史をよく勉強していたわけではなく知識はほとんどありません。五人組も隣組も初耳でした。

ちなみに、気になったので五人組・隣組についてWikipediaで調べてみたのですが、はつねさんのおっしゃっている真意はよくわかりませんでした。岡崎が言いたかったのは日本人にはプライバシーという概念がなかったのではないか、あるいは情報の分類という概念があったかどうかについてですが、この五人組や隣組はWikipediaで調べる限り治安維持などを目的にしているもので、プライバシー云々とか、情報コントロール(多少そういう色はあったとしても、主目的ではない)、といったところではないように読み取れました。

体制維持を目的とした相互監視システムを、いともカジュアルに肯定できる無邪気な科学者ぶりに畏敬の念を禁じ得ません。もし御存じないなら、歴史的な論拠を持ち出すのに最低限の日本史の知識無しで語ろうとすることに羨望の念を覚えます。（たとえ引用元の人間にその知識が無くても、エントリ作成者としての責務から逃れることは出来ません。元から既にだとしたら、それも困ったものですが。）

このエントリでは、私は何を断定したつもりもなく、板倉先生のお話を聞いて単にそういう感想を持ったので、「おそらく」とか、「〜だと思います。」のような調子で書いただけです。
ちょっとした仮説(仮説というレベルまで行ってないですが)を唱えようとするにも、その道の学者レベルの完璧な知識を要求する風潮は正直なところ居心地がよいと感じたことはありません。このトラックバックをいただいたNE（ねとわーくえんぎにあ）日記のはつねさんのようにおそらく様々な分野に専門家レベルで精通されている方は例外としても、私のように浅い知識しか備えていない者にとってはセキュリティは意見を言うことさえ許されない雰囲気です。

この雰囲気は、上記でご紹介したようなゼロリスクの完全主義セキュリティ・ポリシの作成を助長しているように感じてなりません。大多数のITユーザは、セキュリティならびにそれを例示しようとする日本史についての専門知識を持っているわけではなく、また同時に、マスコミ報道等による脅しをかけられてしまうと、いやがおうにも完全主義セキュリティを呑まざるを得ない雰囲気になってしまいそうで心配です。(様々な不祥事に対する報道や、ほかには可哀想に沢尻エリカのように泣いて謝っても許してもらえない雰囲気などをみてしまうと、どうしても「ことなかれ」の方向に気持ちが動いてしまいます)

「事故が発生しても、非難されないようにする」というようなセキュリティの目標を掲げる時、その背景にはこの事なかれ、の気持ちが大きく働いているように思えます。この目標では、声の大きい人のいいなりにならざるを得ず、全く持って非合理的なセキュリティ・ポリシを押しつけられる結果になることが多いでしょう。