ネットバンキングにご用心

www.textfile.org 経由 某ネットバンクでのお話 (hatena.ne.jp)

合わせて「デジタルARENA / ネットバンクで1600万円が突然消える」なんて辺りを読んでおくとあぶないのがどこか少しは分かるかも。

しかしなぁ。例えば自社ビルを建てるときにこの偉い人は免震構造とか空調のコストとか当然セキュリティを考えるはずなのに、ネットワーク絡みのセキュリティになると途端にみんな不勉強になるのはなんでですかね。

まぁセキュリティの話を本当に分かりやすく説明する力がある人は多くない、ってのはあるかもしんないけど。セキュリティに強い人たちは結局実際にセキュリティを確保したり検証したりするのが仕事の人ばかりで、啓蒙活動できるほど余裕のない人がほとんどだろう。また、例えば現役のエンジニアを卒業した人がネットセキュリティに警鐘を鳴らす役割を担えるかっていうと、まだそんなに歴史のない分野だから人材の確保が難しいだろうし、大学などでポストを確保できないと権威付けできないから偉い人の説得が難しいって面もあるかもしれない。それにセキュリティは暗号理論に強ければ教育できるってもんでもないから、退役エンジニアならその役を担えるかっていうと、そうとは言い切れない。

ここで簡単にというか乱暴に説明を試みると、今ちまたに溢れる脆弱性ってやつは、簡単に言えばデキの悪いカギを使っていても家財は守れませんよという話である。その事実に住民が対処しないのは泥棒に狙われる可能性が低いと判断していたり、本当に大事なものはデキのいいカギの金庫に入っていたり、銀行の貸し金庫に入っているから大丈夫、という計算が働いているからだろう。同じように、その事実に対し建物の管理人が対処しないのは、ピッキングに強いカギを使わないといけないという法律がないとか、ピッキングに弱いカギの建物を管理していても、それで訴えられる可能性は低いという計算が働いているからである。ネットバンクのこの手の問題も基本は同じだろう。

しかし現実世界には「周囲の目」という、自分たちが実際に対策をしなくてもある程度セキュリティレベルを保ってくれるありがたいものはあるが、ネット上のセキュリティにはそんなものは存在しない。また、ネット関係のセキュリティの場合は被害が簡単にでかくなってしまうという問題を見落としてはいけない。物理的なカギの場合はどんなに脆弱なカギでも人間がそれを開けて中を物色して退出するまでにそれなりの時間が掛かるし、人間の存在を消し去ることはできない。簡単に言えばその時間にその人がその場所に居たという事実を消すことはできない。アリバイ工作によってごまかすことができたとしても、人間の存在は消えない。しかしコンピュータの場合は文字通り一瞬で大量にデータが取り出せるし、不正なアクセスの痕跡は極力残さないようにすることが可能である。（条件が整えばほとんど追跡不可能な形で不正を行うこともできなくはない。はてなの日記にあるように、追跡云々という話まで含めてセキュリティ問題に対する強さなのであるから、脆弱なシステムではそもそも追跡できない場合も少なくはない。）つまり、コトが起きる可能性について同程度とみなすことができる物理的なセキュリティ問題とネット上のセキュリティ問題が仮にあったとして¹、実際にコトが起きたときの「やばさ」はネット上のセキュリティ問題の方が大きいってことである。

この「やばさ」は現実の被害の大きさ²に直結するものではないが、大事なのは「小さな穴に見えるものが本当に小さい穴なのかどうか」ということである。物理的な穴は大きさを見誤ることはまずないが、目に見えない穴の大きさをあなた（管理責任者）は本当に分かっているのですか、っつーことだ。