サイバー・ノーガード戦法
出典: フリー百科事典『ウィキペディア(Wikipedia)』
サイバー・ノーガード戦法(サイバー・ノーガードせんぽう)とは、コンピュータやそのネットワークに於けるセキュリティ意識に欠ける企業や組織の対応を形容して、「揶揄して用いられる」ネット上で生まれた用語。実際にこのようなセキュリティ対策が意識的に行われているわけではないことに注意せよ。
目次 |
[編集] 概要
2000年代に入ってから頻繁にニュースで報じられるようになった日本に於ける個人情報の漏洩事件に絡み、コンピュータセキュリティ筋で同語が用いられる傾向が見られる。
これらは漏洩を発生させた企業内の情報管理に於ける危機管理意識や質が、保護されるべき対象情報・コンピュータの急速な増大に追いついていないために相対的に低下している事とともに、長らく続く平成不況によるコスト削減や技術者の絶対数不足などに起因する技術上の保安措置不足もその要因に挙がっている。
過去に報じられた事件に拠らずとも、現在も利用されているコンピュータの中には、個人情報などの重要情報が、外部のインターネットから容易に閲覧できるような状態で放置されているような所も稀に見られ、これを揶揄する形でも同語が使用される。
その一方で、不正アクセス禁止法の制定当初から、セキュリティーホールの放置などといった「不正アクセスの誘発」という面を考慮していない同法の制定は、企業のセキュリティ意識の低下を招くおそれがあるといった指摘もされていた。
同語が扱われる局面で重要な点は、企業情報や顧客情報など、その企業にとっては命運すら握る筈の重要情報の管理が杜撰になされている事であり、特にその企業を信頼して個人情報を預託したはずの顧客の個人情報に対する、企業の個人情報保護の責任の放棄とも言える方策である。被害があれば、企業は被害者としての面を強調するが、情報の保護を怠ったことはセキュリティを破ったクラッカーと同程度・またはそれ以上に責任を問う必要があるだろうとする意見が複数セキュリティ関連筋から出ている。これが「同語の(皮肉による)絶賛」という形を生んでいる。
[編集] 発端
この言葉は、2004年に発生したコンピュータソフトウェア著作権協会(ACCS)の個人情報漏洩事件に対して、ネットアンドセキュリティ総研が運営するウェブサイトNetSecurityのコラムで提唱された。その後、スラッシュドットジャパンなどの情報技術関係筋のネットコミュニティで使われるようになった。
この事件において、同団体サイトの状態をセキュリティカンファレンス上で発表した研究者に対して、抜き取った個人情報の一部を個人特定が可能な状態で講演資料(プレゼンテーション資料として提示した)に転載した事に対し、不正アクセスであるとして告訴した。
[編集] 語源
この語源はボクシングを取り上げた漫画作品のあしたのジョー(後にアニメ化され、1970年代に絶大な人気を誇った)において、主人公の矢吹ジョーが無防備状態で相手に突進し、殴られるのも構わず相手に打って掛かる通称「ノーガード戦法」に由来する。
[編集] 顛末
先に挙げたACCSの事件では、同団体ウェブサイト上の問い合わせ用アンケートの入力結果を保存するファイルが全く暗号化されておらず、またこれを収めたディレクトリ(パソコン上のフォルダに相当する)も外部からのアクセスを禁止するような設定にはなっていなかった。
これは一般のウェブページ製作業者では考えられない程にお粗末な状態であるとして、不正アクセス云々以前(ただ、個人情報をそのまま講演資料に流用した研究者の倫理意識は問題視されている)だと複数のコンピュータセキュリティ技術者筋が同問題を取り上げた。
なお同件に関しては、個人情報を抜き出した研究者については不正アクセス禁止法違反で有罪判決が確定しており、またその一方で刑事事件に発展し大きく一般のニュースにも取り上げられた事で、同種の事件を招きかねない他のサーバー管理者のみならず業務の裁定権をもつ経営者にも問題の所在を印象付ける事となった。この点ではACCSのサイバー・ノーガード戦法は一定の成果を収めたと評価できる。
[編集] 関連する事件
個人情報漏洩の項を参照されたし。
[編集] サイバーノーガード・ポリシー
このコンピュータセキュリティ上の管理ポリシーは、ネットコミュニティ上で(皮肉をこめて)絶賛されている。ついには以下のような具体的「メリット」まで挙げられている。
サイバーノーガード戦法は、ネットコミュニティから生まれた架空の管理ポリシーであり、実在する企業の管理ポリシーではない。
[編集] 低コスト
まず、この管理方針の最も優れている点として、高度な保安プログラムや保安機器を揃える必要も無ければ、専門のセキュリティ技術者を擁さないで済むために管理コストが安くあがる点にある。
これと同時にハニーポットではないが、不正アクセスなどでコンピュータ運営側が不利益を被ったときは、相手に威力業務妨害や不正アクセスで訴訟を行う事で、損害を賠償させる事ができる。当然損害賠償で勝ち取った分だけ収入も発生する。更には保険に加入しておけば、保険金を受け取る事も可能である。
例え実際に被害が発生しても、サイト利用者が被った不利益は「陳謝」する事で回避する。頭を下げることではコストは発生しない。まだ非難が続くようなら商品券などを送っておさめる。一時的に商品券を発送するコストも、日常的にセキュリティ管理するコストに比べると安価である。そして世間が飽き、事件が沈静化するまで待つ。
[編集] 通常管理と危機管理
サイトの管理は比較的簡単で済むため、サーバーモンキー(俗におたくの類型だとされる、サーバーを弄り回す事が大好きな人々・趣味と業務の区別が付いていない)と呼ばれる、一般に言う所のコンピュータ技術者のようには専門の教育は受けていない人材でも構わない。
このため例えば責任者への非難があったら、幾らでも替えが利くサーバー管理者を人身御供にして引責辞任させ、次の(同程度のスキルやコストの技術者は幾らでも居る為)管理者を据えるだけで良い点も、人材不足に悩まされずに済み、優れているとされる。
[編集] 信用=“Priceless”
この戦法で真っ先に失うのは利用者の信用である。ただ信用には値札が貼ってない(所謂“Priceless”)ので、同管理ポリシーでは金銭に換算されずに無視される。
例え利用者が管理上の不備を指摘してきても、利用規約を盾に「そういう管理姿勢である」と突っぱねるのが、このポリシーにおける正しい運用方法となる。
[編集] 安全性
この管理ポリシーでは、責任を全て利用者と不正アクセスによって情報漏洩をさせた側に求める事で、責任者の責任は問われず「(責任者側は)安全」である。
[編集] 発展
更に、この管理ポリシーの発展形としてサイバー・クロスカウンターが存在する。これはあるサイト改竄事件の際に囁かれた。
セキュリティ上の管理姿勢はサイバーノーガードに準じようとも「きちんと管理していた」とし、また技術面で外部が問題を調査しようにも、企業秘密とセキュリティ上の秘密を盾に内部の管理状況は明らかにしない。悪いのは不正アクセスして来た側であり、こちらは被害者だという一貫した姿勢を通す事で自らの正当性を主張し、セキュリティ上の問題点には一切触れず、また被害を発生させた要因も「警察捜査のための現場保存」であるとして放置する…というものだとされる。
[編集] その他
- 香川県の地方銀行の百十四銀行は法人向けインターネットバンキングに完全に否定的で、顧客からのサービス開始要望を断固として拒絶している。これはセキュリティ確保のためサービスそのものを提供しないというもので、これはサービス開始を先行させてセキュリティ面が等閑になるサイバーノーガードとは完全に逆の姿勢といえる。しかし顧客利便性やニーズに反してまで自己保身的な姿勢はサイバーノーガードに通じる面もあるかもしれない。とはいえ実質的な情報漏洩などの被害が無いだけに、同行の姿勢は「正しいセキュリティポリシー」と評価することは可能である。なお、同行が筆頭株主となっている第2地方銀行香川銀行でも同じ状況にあり、香川の銀行で法人向けインターネットバンキングを望むことはもはや絶望的であり、両行の殿様経営への批判も込めて、都市銀行や隣接県の銀行をメインバンクとする住民や企業も多い。このためか、香川県では隣接県の銀行が隅々にまで支店を出しており、なおかつ中国銀行がファミリーマート・ローソンの店内に続々とコンビニATMを設置している。
[編集] 関連項目
[編集] 外部リンク
 |
この「サイバー・ノーガード戦法」は、コンピュータに関連した書きかけです。この記事を加筆して下さる人を求めています。(Portal:コンピュータ) |
カテゴリ: コンピュータ関連のスタブ項目 | セキュリティ技術 | 社会問題
