セキュリティ研究者とそうでない人との間の溝

開発者のプライドか、それとも「脆弱性」のネガティブイメージの影響か (高木浩光@茨城県つくば市 の日記)

一言で言うと文化が違うというか。高木さんですらまだセキュリティ技術者、研究者の指摘が世間的にどういう風に受け取られるかよく分かっていない例だと思う。

簡単に言うと、RFC などの規格に厳密に作るという姿勢はごく最近の動きなんですな。1けっこうこの辺の細かい部分は「現物合わせ」な作り方の方が主流なんじゃないかと思います。もちろんそれを是としているわけじゃないけど、とりあえず現状認識としてそこからスタートしなきゃいけないんじゃないかと。話を広げて申し訳ないが、インターネット普及以後の、標準準拠を重視し、閾値チェックなどの基本的なセキュリティ対策を施す、という作りはやっぱりアプリケーション開発の歴史の中ではごく最近の話でしょ。つまり、まだまだこれから浸透させなければいけない文化であって、例えばメーラ、Web ブラウザ、サーバなどのアプリ開発者がすべからくこの文化の中に居るなんてことは到底考えられないわけ。もちろんそのことはきっと高木さんなんかは総論として分かっているんだろうけど、1対1で相対するときにそのことが頭の中で確固たる位置にあるかというと疑問だなってことなのです。

でも、従うものがあるときは従うべきというのは開発者ならどこかで分かると思うんですよ。例えば Windows アプリを作るときに Windows のルールから外れてたらまともに動くわけないんだから、Windows のルールはまぁ普通守るでしょ。トリッキーな作りの方が好きっていう人を除けばその方がテストも楽だし、悩むポイントが減る。同じように、これこれこういう仕様に従っておいた方が何かと楽であるという認識に至らせてしまえばよいのですよ。あぁ、仕様に合わせておいた方がセキュリティも含めごちゃごちゃした問題で悩まなくて済むようになるな、と。

だけどこれまでの「セキュリティ問題の指摘」という文脈には「異なる文化の人間と相対していて、相手を自分の文化の中に誘導する」という視点はまったくないと思う。簡単に言うと指摘する側に思いやりがないというか、あんたビジネスの経験まったくないでしょ?というくらいに言葉が冷静すぎて冷たくて、聞いててむかつくって感じ。この場合むかつくのは聞かされた担当者であり、例えば office の裁判記事を読む日経オヤジであり、標準厳守の文化にいなかった開発者なわけだ。問題は「開発者のプライド」じゃーないと思う。指摘する側が「対話の言葉」を持っていないってことじゃないかな。

技術屋の論争術は法廷で通用するか? (/.-j)

なんかを読んでも感じることだけど、正しいことを論理的に主張できても、どんだけ証拠が積みあがろうとも、それが相手に伝わるとは限らないわけ。そこんところの想像力が足りてない感じがするのです。

相手に伝えるために必要なのは資料じゃなくて「できる限り相手と近い視点」だと思います。

また、今回の高木さんやスラドでよく見る技術屋が陥りやすいのは、「相手に対して発しているはずの言葉が、資料や証拠に基づいているうちに、いつの間にか第三者向けの言葉になってしまっている」という現象じゃないでしょうか。それは相手への投げ掛けではなく、第三者が論理的に読み解いたときに納得できる資料になってしまっているのです。ハタから見ている分には「あぁこっちが正しいな」って分かるんだけど、たぶん当事者は「バカにしてんじゃねぇよ」という気持ちになると思うなぁ。で、そうなっちゃうと「勝ち負け」になっちゃうからもうダメなのですよ。それはもう説得としては失敗してる。

相手に「負けた」と思わせたら気持ちのよい説得とはほど遠い。セキュリティ研究者、および今後現れる「相手に問題を指摘しなければいけない立場」の人はまずこのことを肝に銘じるべきだと思う。

ACCS がなんで office氏の告訴に至ったか、47氏が警察と協力関係にあったはずなのになぜ逮捕に至ったか、おおいに疑問だったんだけど最近の一連の記事を見てなんとなく分かってきた気がする。一言で言うと使い古された言葉だけど、技術屋が人間を分かってない。

  1. ごく最近でない人はヲタです。セキュヲタ、標準ヲタ。例えば valid html + css ってのは最近でこそ blog を見習って SEO を考えると説明しやすくはなったけど、以前は何このヲタクとしか見られなかった。それと同じこと。 

More