テクノロジーにおける私の厳しい現実:もうあなたは誰も、何も信じてはいけない~2 要素認証? 結構なことだ、もしあなたが連邦政府を信用するなら(その2)(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

テクノロジーにおける私の厳しい現実:もうあなたは誰も、何も信じてはいけない~2 要素認証? 結構なことだ、もしあなたが連邦政府を信用するなら(その2)(The Register)

国際 TheRegister

●解決策はある

この問題の究極の解決策は、自分のネットワークにインストールできる仮想アプライアンス(一元化したクラウドサービスから、情報の更新やセキュリティの設定変更をストリーミングするもの)だろう。それを利用することによって私は LastPass のようなグループの専門知識を利用しつつ、私の大事な情報が他国の法の対象にならない状況を確保できる。

本物のパラノイアは、アプリにバックドアが内蔵されている可能性を心配するだろう。それを解決するのは第三者による監査だ。これらの監査の必要条件は、監査役が異なる管轄から来ることである。それは「全ての監査役が、何らかの実体によって重大な欠点を故意に見落とすように(あるいは強調するように)命じられたかもしれない)」という不安を消してくれる。

そのアップデートは(プッシュ型ではなく)プル型の機構を介して提供されるべきだ。つまりサイトへ投稿された更新情報を、サーバソフトウェアが取りに行くべきである。デプロイメントされたサーバベースと一元的なサービスが、直接的に相互作用するような手法はあるべきでない。彼らがシステムにバックドアを全く持っていないということを確認するよう、これらのアップデートも同様に吟味されるかもしれない。

私はまだ続けることができるが、もう私の主張は伝わっているだろうと思う。我々は、「信頼」が大きな課題となるクラウドコンピューティングの世界へと向かっている。それはもはや「あなたの買うソフトウェアが、広告で謳われているのと同じように機能するのかどうかの信頼性」といった単純な問題ではない。

我々は現在、ますます複雑になっている進行形のセキュリティ脅威を不安視しなければならない。それは犯罪者による脅威だけでなく「プライバシーと市民権に関する法律とアプローチが、我々のそれとは大きく掛け離れた国の政府」による脅威でもある。


●デザイン主義の信用

テクノスファでは、そのように考えていない。ごく少数だけが信頼(またはその欠落)を中心に製品をデザインしている。その技術がどのように働くのか、また、その技術が何をもたらす可能性があるのか、我々はその考えばかりに取りつかれるようになった:技術は容易で、人々は困難だ。政治、法、感情、その他の「人を中心とした要素」という大きな現実の中へ、我々が構築する技術をどのように調和させるか。その点が、しばしば見落とされている。

場合によっては、ただ単にターゲット層の制限の問題でもある;たとえば米国のユーザーのために商品をデザインする米国の企業だ。その多種多様に入り組んだ国民の多くにとって、信用問題の複雑な事柄を真に理解するのは不可能である。人間とは、自身の展望や理解の範囲内に制限されるものだ。

2000 年代には、インターネットの常時接続の急激な普及によって、任意の敵による遠隔攻撃が日常的な生活の一部となり、『設計された安全』がキャッチフレーズとなる様子が見られた。しかし、この 10 年間が獲得してきたのは『設計された統合』であったように見える――それは DevOps から SDN、Storage、その他に及ぶ旗の下で行われるハードウェア、ソフトウェア、ネットワーキング、そしてクラウドサービスの密接な結合だ。

「設計された信頼性」は不便なものとして、そしてビジネスに悪影響を及ぼすものとして、こっそりと隠すような形で完全に無視されてきた。それは部屋の中にいる象のようなもの、それを解決することに対して我々が集団的に無力さを感じるものである。企業はそれを案じることでリソースを無駄にしたくない。そして政府は、あまりにも多くの場合において「解決する側」でなく「問題」の一部となっている。

そういったことを我々が心配するのは、あたかも性格が疑り深いせいであるかのように思わせ、それが罪深いことである我々に感じさせる目的で設計された販売活動を、エンドユーザーたちは受け入れている。テクノロジー企業――そしてテクノロジー誌、リポーター、ブロガー――がプライバシーの概念にどっさり与えた嘲りは、あなたが「自分のデータを自分で制御したい」と願うことを排除するものを作ってきた。

プライバシーを望む者は、明らかに何らかの罪を犯している。さもなければ、なぜ彼らはプライバシーと呼ばれるものを欲しがるのだ?――我々は、そんな思想犯罪の文化を作りあげてきた


●要求変更

我々はコンピューティングの新たな変更を必要とする。それは OSI モデルの 7 つの層と、人的要素を考慮した追加の 3 つの層に注視し、それら一つ一つを中心とした設計に取り組むものだ。

画像:著者の示す 10 層

ユーザーデータを「独占し収益に変えるための追加の要素」と見なすことを、我々は技術者として止めなければならない:我々はそのデータを、神聖にして侵すべかからざるものとして扱う必要がある。

そしてユーザーとしての我々は、「ソリューション」の中へ我々をロックするために、あるいは企業や政府によって採掘されるために、我々のデータが利用されることを決して認めてはならない。我々がパスワードについて話すとき、データの保護の重要性を理解することは簡単だ。しかし、他の形態のデータも同様に重要である。ジャーナリストの連絡先リストが掘り出されたなら、その情報源は危険にさらされる可能性がある。我々が認めることを嫌うのと同様に、誰かが慎重に隠し続けてきた病気や、あるいは民族性すら明らかにするような行為は、結局のところ彼らの生計を――背景を、あるいはその命さえ――犠牲にする結果となりえる。

もはや我々のデータは完全に我々の管理下にはない。我々はユーザーとして、その管理に携わる全てのリンクを調べ、「我々のデータにアクセスできる可能性があるのは誰なのか、また、どのようにアクセスされるのか?」を自問しなければならない。我々が明示的に許可しない限りは、どのような理由であれ、決して我々以外の誰も我々のデータへアクセスする権利を持たないと保証する措置が取られるよう、我々は要求していかなければならない。

我々はアプリケーションを構築する企業に対して、それを要求する必要がある。我々は政府に対して、また私たちが働いている企業に対してさえ、それを要求しなければならない。もう一つの選択肢となるのは秘密のない世界;それは一つのミスでさえ――大小に関わらず――我々を生涯にわたって悩ませる可能性のある世界だ。

人間は、それほど寛大ではない。我々は排他的で同族的だ、我々は常に、外の人間を含めない方法を見つけ出そうとし、その代わりとして彼らを除外する理由を探す。我々の歴史には、我々の存在から考えられるあらゆる要因に基づく差別が散りばめられている。それは、取るに足らない野次から人種差別、奴隷制度、拷問、大量虐殺に到るまで、あらゆるところに現れてきた。

そのスペクトルの、さらに悲惨で極端な終わりを見て「これは野蛮な時代の人類のみに起こること」「はるか辺境の地だけで起こること」と言うのは簡単だ。我々はダルフールビルマの恐怖について、そこに関わる人々が我々よりやや劣っている――我々と異なり文化的でない、と自分に言い聞かせることにより、それを離れた場所から見ることができる。我々と彼らを形成するものの違いは「原産国」というスプレットシートのデータに基づくものでしかなく、全く同一であるという皮肉に、どれぐらいの人が気づいているだろうか?

人種差別主義者が巨大なデータの大きな一滴を掴んだとしたら、いったい何が起こる? 彼らは「stand-your-ground law」のような法律(編集部註:防衛のために武力を行使する可能性があるという米国の法)を悪用し、彼らの好まざる特定のスプレッドシートの枠にいる人々を見つけ、危害を与えることができるのではないか? 我々は、このデータの不正利用がどのように住宅や保険、それに関連する価格設定を改める可能性があるのか、その点についても考え始めることができているだろうか? 暴徒たちが「自分には任務と権利が与えられている」と感じたとき、彼らはその情報をどうするだろう? 結局のところ、Reddit はボストンの爆撃犯の特定方法を明らかに間違えた

我々は Google Island の住民になる準備ができていない。人類は、そこまで発展するには遠い存在だ。プライバシーを侵害し、直接的かつ露骨な不正利用をする政府の権限に対してさえも我々は無力だ。国家の安全を保障し、非常に現実的なテロの脅威に対処する目的で厳密に作成されたはずの権限は、収集日に多くのゴミを出しすぎる市民を密かに見張る目的で利用されている。

適切に管理されていると思われている巨大な政府の情報データベースさえ、常に正しくはない――それは他の失敗談として、米国の上院議員をテロリストに指名している。我々は本当に、我々の「ますます容易に解読される状態」のままのおんぼろなプライバシーから、構造化されていないデータを彼らに山ほど集めさせる準備ができているのか?

我々の活動や信念、行動、組織、欲求に対して完全なアクセス権を持つのに相応しいレベルの信頼に値するのは、我々のうちのごく少数で――おそらく誰もいない。そのことを確認することは、全ての情報を「誰も信頼しないように扱う」手法を前提として格納するシステムを設計することだ。

我々は――クリエイターや技術者としてだけでなく、「テクノロジー」と呼ばれるものの利用者や消費者としても――、セキュリティや連結性、使いやすさと同じぐらいに「データの保護」が設計の基礎として確かなものとなることを望んでいるか? もしそうでないのだとしたら、我々は「無関心」が作り出す将来に対する覚悟ができているのか?

※本記事は有料版と同じ全文の内容を掲載しました

© The Register.


(翻訳:フリーライター 江添佳代子
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. SMSによる二要素認証が招くSOS(The Register)

    SMSによる二要素認証が招くSOS(The Register)

  4. フィッシング詐欺支援サービスの価格表(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  7. Mac OS X のシングルユーザモードの root アクセス(2)

  8. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×