サイバーノーガード戦法という言葉を筆者が使ってから、すでに4年の歳月が過ぎている。4年たってもいまだに通用するサイバーノーガード戦法についてのおさらいと今後の可能性を整理してみたいと思う。●根本的には法的リスクと社会的責任のバランス この国ではセキュリティ技術者は不遇である サイバーノーガード戦法がいまだに有効というのは、筆者は憂うべき事態だと思うのであるが、一概にサイバーノーガード戦法を採用している企業経営者ばかりを責めることはできない。 この不景気の中、企業経営者も大変なのである。明らかにコスト有利な手法があったら、それを採用したくなってしまうのが、人間の常だと思う。 問題は、サイバーノーガード戦法に圧倒的なコストメリットがあるような仕組みになっていることではないかと筆者は思う。 企業側の管理責任が非常に軽く、その一方で脆弱性やインシデント発見者にきわめて厳しい仕組みができあがっている。これでは、怖くてユーザが自分自身で利用しているサイトのチェックを行うこともできない。万が一、チェックして、そのまんま他人の個人情報が閲覧できたりしたら、不正アクセス禁止法違反なのである。 いや、別に極端なことをいっているわけではない。ログインの際に、ちゃんとヘンなコード入れてもはじかれるかなーとか、試したら、そのまま他人のアカウントが見えたということも実際にある話なのである。そのサイトが訴えたら、不正アクセス禁止法で逮捕される可能性もある。 利用者側がサービス内容の確認やチェックを行って問題を見つけると罪になり、その一方でサービスに問題が起きてもサービス提供者側は罪に問われないというきわめてバランスを欠いた状態なのである。 こういう状態では、前述した莫大な個人情報を取り扱っている企業以外は、よほど社会的責任に敏感な企業でないとわざわざコストをかけてセキュリティ対策を行ったりはしないだろう。 筆者はサイバーノーガード戦法の蔓延は、企業側の問題というよりは、制度上の問題に思えて仕方がない。 余談であるが、筆者は以前、某経産省の方に「脆弱性情報は原則公開と非公開のどちらにすべきだと思いますか?」と聞かれたことがある。 筆者はなんも迷いもなく「もちろん、原則公開です」と答えた。 なぜなら、原則公開と非公開のどちらにしても脆弱性情報は流通するに決まっている。問題は合法的かつオープンに流通するのか、アングラなところだけで流通するのかという点である。非公開にすれば、アングラなとこだけで情報が流通し、その脆弱性に対する対策が遅れる可能性が高い。公開にすれば同時進行で対策を考えられる。 どう考えても原則公開しかありえないと持っていたが、世の中はそうはならなかった。(つづく) 【執筆:Prisoner Langley】(※筆者注:本稿は、警鐘をならすための啓発記事であって、サイバーノーガード戦法を推奨しているわけでありません。)【関連記事】Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008第1回「サイバーノーガード戦法 3つの魅力」 https://www.netsecurity.ne.jp/7_12386.html Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008第2回「サイバーノーガード戦法 3つのデメリット」 https://www.netsecurity.ne.jp/7_12428.html Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008第3回「個人情報漏えいの損害賠償は恐い?」 https://www.netsecurity.ne.jp/7_12464.html 【関連リンク】セキュリティコラムばかり書いているLANGLEYのブログ http://netsecurity.blog77.fc2.com/
