「サイバー・ノーガード戦法」の版間の差分
(ここまでひどい独自研究記事は初めてみました(笑)) |
(相違点なし)
|
2014年5月30日 (金) 14:46時点における最新版
サイバー・ノーガード戦法(サイバー・ノーガードせんぽう)とは、コンピュータやそのネットワークに於けるセキュリティ意識に欠ける企業や組織の対応を揶揄する際に用いられる用語。ネット上で生まれた用語であり、実際にこのようなセキュリティ対策が行われているわけではない。
目次
概要
2000年代に入ってから頻繁にニュースで報じられるようになった日本における個人情報の漏洩事件に絡み、コンピュータセキュリティ筋で同語が用いられる傾向が見られる。
これらは漏洩を発生させた企業内の情報管理に於ける危機管理意識や質が、保護されるべき対象情報・コンピュータの急速な増大に追いついていないために相対的に低下している事とともに、長らく続く平成不況によるコスト削減や技術者の絶対数不足などに起因する技術上の保安措置不足もその要因に挙がっている。
利用されているコンピュータの中には、個人情報などの重要情報が、外部のインターネットから容易に閲覧できるような状態で放置されているような所もしばしば見られ、これを揶揄する形でも同語が使用される。
その一方で、不正アクセス禁止法の制定当初から、セキュリティホールの放置などといった「不正アクセスの誘発」という面を考慮していない同法の制定は、企業のセキュリティ意識の低下を招くおそれがあるといった指摘もされていた。
同語が扱われる局面で重要な点は、企業情報や顧客情報など、その企業にとっては命運すら握る筈の重要情報の管理が杜撰になされている事であり、特にその企業を信頼して個人情報を預託したはずの顧客の個人情報に対する、企業の個人情報保護の責任の放棄とも言える方策である。被害があれば、企業は被害者としての面を強調するが、情報の保護を怠ったことはセキュリティを破ったクラッカーと同程度・またはそれ以上に責任を問う必要があるだろうとする意見が複数セキュリティ関連筋から出ている。これが「同語の(皮肉による)絶賛」という形を生んでいる。
発端
この言葉は、2004年に発生したコンピュータソフトウェア著作権協会(ACCS)の個人情報漏洩事件に対して、ネットアンドセキュリティ総研が運営するウェブサイトNetSecurityのコラムで提唱された。その後、スラッシュドットジャパンなどの情報技術関係筋のネットコミュニティで使われるようになった。
この事件において、同団体サイトの状態をセキュリティカンファレンス上で発表した研究者に対して、抜き取った個人情報の一部を個人特定が可能な状態で講演資料(プレゼンテーション資料として提示した)に転載した事に対し、不正アクセスであるとして告訴した。
語源
ボクシングを取り上げた漫画作品(後にアニメ化)の『あしたのジョー』において、主人公の矢吹ジョーが使用した戦法に由来する。これは、無防備状態で相手に突進し、殴られるのも構わず相手に打って掛かるもので、「ノーガード戦法」と呼ばれた(ただし、作中ではクロスカウンターを誘う時にも使用した)。
顛末
先に挙げたACCSの事件では、同団体ウェブサイト上の問い合わせ用アンケートの入力結果を保存するファイルが全く暗号化されておらず、またこれを収めたディレクトリ(パソコン上のフォルダに相当する)も外部からのアクセスを禁止するような設定にはなっていなかった。
これは一般のウェブページ製作業者では考えられない程にお粗末な状態であるとして、不正アクセス云々以前(ただ、個人情報をそのまま講演資料に流用した研究者の倫理意識は問題視されている)だと複数のコンピュータセキュリティ技術者筋が同問題を取り上げた。
なお同件に関しては、個人情報を抜き出した研究者については不正アクセス禁止法違反で有罪判決が確定しており、またその一方で刑事事件に発展し大きく一般のニュースにも取り上げられた事で、同種の事件を招きかねない他のサーバ管理者のみならず業務の裁定権をもつ経営者にも問題の所在を印象付ける事となった。この点ではACCSのサイバー・ノーガード戦法は一定の成果を収めたと評価できる。
関連する事件
個人情報漏洩の項を参照。
サイバーノーガード・ポリシー
このコンピュータセキュリティ上の管理ポリシーは、ネットコミュニティ上で(皮肉をこめて)絶賛されている。ついには以下のような具体的「メリット」まで挙げられている。
低コスト
まず、この管理方針の最も優れている点として、高度な保安プログラムや保安機器を揃える必要も無ければ、専門のセキュリティ技術者を擁さないで済むために管理コストが安くあがる点にある。
これと同時にハニーポットではないが、不正アクセスなどでコンピュータ運営側が不利益を被ったときは、相手に威力業務妨害や不正アクセスで訴訟を行う事で、損害を賠償させる事ができる。当然損害賠償で勝ち取った分だけ収入も発生する。更には保険に加入しておけば、保険金を受け取る事も可能である。
たとえ実際に被害が発生しても、サイト利用者が被った不利益は「陳謝」する事で回避する。頭を下げることではコストは発生しない。まだ非難が続くようなら商品券などを送っておさめる。一時的に商品券を発送するコストも、日常的にセキュリティ管理するコストに比べると安価である。そして世間が飽き、事件が沈静化するまで待つ。
通常管理と危機管理
サイトの管理は比較的簡単で済むため、サーバモンキー(俗におたくの類型だとされる、サーバを弄り回す事が大好きな人々・趣味と業務の区別が付いていない)と呼ばれる、一般に言う所のコンピュータ技術者のようには専門の教育は受けていない人材でも構わない。
このため例えば責任者への非難があったら、幾らでも替えが利くサーバ管理者を人身御供にして引責辞任させ、次の(同程度のスキルやコストの技術者は幾らでも居る為)管理者を据えるだけで良い点も、人材不足に悩まされずに済み、優れているとされる。
信用=“Priceless”
この戦法で真っ先に失うのは利用者からの、あるいは社会的な信用である。ただ信用には値札が貼っていない(いわゆる“Priceless”)ので、同管理ポリシーでは金銭に換算されずに無視され、損失とはみなさない。
たとえ利用者が管理上の不備を指摘してきても、利用規約を盾に「そういう管理姿勢である」と突っぱねるのが、このポリシーにおける正しい運用方法となる。
安全性
この管理ポリシーでは、責任を全て利用者と不正アクセスによって情報漏洩をさせた側に求める事で、責任者の責任は問われず「(責任者側は)安全」である。
発展
更に、この管理ポリシーの発展形としてサイバー・クロスカウンターが存在する。これはあるサイト改竄事件の際に囁かれた。
セキュリティ上の管理姿勢はサイバーノーガードに準じようとも「きちんと管理していた」とし、また技術面で外部が問題を調査しようにも、企業秘密とセキュリティ上の秘密を盾に内部の管理状況は明らかにしない。悪いのは不正アクセスして来た側であり、こちらは被害者だという一貫した姿勢を通す事で自らの正当性を主張し、セキュリティ上の問題点には一切触れず、また被害を発生させた要因も「警察捜査のための現場保存」であるとして放置する…というものだとされる。
関連項目
- 情報セキュリティポリシー
- クラッカー - スクリプトキディ
- 個人情報漏洩 - 情報の拡散 - プライバシーポリシー
- スラッシュドット(日本コミュニティでしばしばお粗末なセキュリティ体制を揶揄する意図で同語が引用される)
