第21回 国民総ネット時代のセキュリティ問題
ブロードバンド時代が目前まで来ている.もし,e-Japan構想が本当に実現するなら,数年以内にほとんどの家庭に常時接続インターネットが届くことになる.それもたしかに凄いことだが,すでに日本は国民総ネット時代に突入しているのである.電子メールやブラウザ機能をもった携帯電話が数千万台も普及しているからだ.
昔,大学や会社にLANが導入され始めた頃,ネットワーク管理者が口を酸っぱくしてセキュリティの重要性を説いて回ったものだが,今は別の観点でセキュリティを考えなければならない状況になっているようである.
今回は,もしかするとIT技術者が考えるセキュリティの常識は,一般社会から見ればとても実現できないことなのではないかという話をしてみたい.
携帯電話のプライバシは何処へ
最近,携帯電話の機種を交換した.話題のJava機能がどんなものか見てみたかったからだ.当然ながら,内部の電話帳データをコピーしてめでたく最新機種になったのだが,問題は使い終わった古い端末である.当然,自分で廃棄するか,電話屋さんに頼んで処分してもらうことになる.
さて,その段階で私のプライバシのかたまりでもある電話帳を消去しようと思ったのだが,私の古い端末では一括消去ができない.そんなバカなと,いろいろ機能を探してみたが見つからなかった.ということは,機種交換する人はみな自分の電話帳が残った端末をそのままにして廃棄しているのだろうか?
マニュアルを読めばどこかに書いてあるのかもしれないが,いくらメニューを探しても一件単位の消去しか出てこない.これで200件近い電話帳を消すことはほぼ不可能となり,かくして古い端末は私の怪しい交友関係データを残したまま廃棄されることになってしまった.
全件消去という機能をメニューに入れて,間違ってデータが全部消えてしまったらユーザーが困るだろう.そんなフェイルセーフがこういう危険な機能を隠してしまう.一般社会では,セキュリティは使いやすさに負けるのである.
情報機器廃棄処分の落とし穴
パソコンやPDAが普通のものとなって久しい.IT機器は製品寿命が短いから2〜3年で現役引退となるが,問題は推奨される処分のしかたである.内部にプライバシデータが残っているから,捨てる前にフォーマットなどを行ってデータ領域を初期化しろと事情通は言うのだが,冷静に考えるとどうもおかしい.
通常の初期化ではディレクトリが消えるだけで,実際のデータは磁気的には残っているということもあるが,もっと深刻な問題がある.なぜパソコンを捨てるか? 壊れて動かなくなったからなのである.
動かないパソコンやPDAは,たいていフォーマットができない.そんなことだから,捨ててあるパソコンのハードディスクを取り出すと,かなりの確率で中に個人データが残っているはずである.インターネットに接続して使っていたパソコンはメールやブラウザの履歴,さらにはCookieなどプライバシの山である.セキュリティを徹底する気ならハードディスクをハンマーで叩きつぶすくらいの覚悟がいる.
パスワード管理なんてできない
大学でも事務処理がオンライン化されてきて,かなりのことがデスク上のPCからできるようになってきた.多くは,学内のWWWサービスを経由して行われるのだが,セキュリティ上の理由で必ずIDとパスワードが必要になる.
問題は使う頻度にある.一年に2,3度しか使わないアカウントのIDとパスワードを覚えることは事実上不可能だと思う.それに対して,セキュリティガイドラインは,以下のようにアドバイスしてくれる.
1. 人名や誕生日のように推定されやすい文字列をパスワードに使わない
2. 定期的にパスワードを変更する
3. 紙の上やファイルにメモしない
本気でそんなことができると思っているのだろうか.どうしてパスワードは誕生日や電話番号になってしまうのか.それは覚えられないからなのである.明らかに,1,2と3は矛盾している.かくして,パスワードはメモやファイルとして“わかりやすい”場所に置かれることとなる.国家機密を管理するような仕事をしている人にはきちんと管理してもらわなければ困るのだが,それは仕事だからであり,それに対して給料が払われているからなのである.
総ネット時代のセキュリティ常識
常時接続が普及するにつれて,セキュリティやプライバシ保護が話題になる機会が増えている.しかし,提供されるセキュリティ機能と,実際に使っている人のセキュリティ観念のギャップはどんどん広がってきている気がする.
昔,情報処理が専門家の仕事だった頃に,情報管理者が守るべき基準として作られたセキュリティガイドラインが,現在では常識として全国民に求められているのではないだろうか.とくに,家庭のパソコンが常時接続されるようになったときが問題である.
Java携帯電話も,Javaからは端末の内部情報にはアクセスできないという高セキュリティ機能が売り物なのだが,機種交換をすると内部データが残ったまま他人に渡ってしまうという笑い話みたいなこともある.
それは利用者側の責任といってしまっては,e-Japan構想の理念が泣く.e-Japanは,国民総ITオタク化構想ではないのだから.
|