開発現場に限らず PC のある現場(一般家庭も当然含む)でも、 よく聞かれるようになった「セキュリティ」。 要するに安全なのか、どうなんだ、という話題であるが、 結構誤解が多そうなので、専門でもなんでもない私も一言いうことにする。
最近の話題であれば「ウィルス」が一番に挙がるであろう。
ただ「ウィルス」が危ないというのではまったく要を成さない。 今、PC を扱うにおいて危ないのは自分の周りで見る限り以下のように分類できる。
非常にざっくり分けたが、これ以上分類してもややこしいだけである。 自分に迫っている危険が大方どのようなものかを知らないと対処を間違う。 以下にそれぞれ、何が危ないのか、何を守らないといけないのかを書いてみる。
最近よく見かける「悪意のあるコードが実行されると...」 などといわれるものは大体これである。
何が破壊されるかというと、PC 環境。 要するに、PC が正常に動かなくなる、ということである。 ハードディスクの中身を全部消してしまうというのが、今一番痛い被害だが、 スイッチを入れたときに起動できなくなるとか、 画面に変な表示が出て操作しづらくなる、 操作できなくなるなどというのもそうである。
このような活動を行うものはウィルスが主である。 ウィルスは大規模に活動をするために「感染」するように出来ている。 一昔前であれば、 クリスマスに花火を打ち上げるだけのほほえましいものもあったが、 最近はそういうお気楽なものをあまり見かけない。中心は破壊活動である。
破壊するならウィルスだけではなく PC 上で動くプログラムであれば何でもいい。 感染しなくてもよくて、あいつは憎いのであいつの PC が動かなくなればよい、 ということも実はよくある。私程度でも、たとえば MS Excel を使わせてくれれば あなたの嫌いな人の PC をその人のせいにして破壊して差し上げる。
実は、もっと手っ取り早い方法は物理的に破壊することである。 叩き壊すわけである。コンピュータは物体なので、壊れる。 中に何があろうが、物体として壊れてしまえばそれまでである。 あるいは、ノート PC であれば、持ち去れば破壊されたのと同じである。 悪意がなくても天災などによる破壊も忘れてはならない。
PC 一台で孤独に作業をしている人は最近少ない。 何らかのネットワークを介してどこかのコンピュータと連携して動いている。 今ウェブを見ていること自体が少なくとも十台以上のコンピュータと ネットワークを介して連携している結果である。
では、そのネットワークが切断されるとどうなるだろうか。困る。 普段意識しない分、余計に困る。ネットワークは目に見えないものであるから、 原因はわかりづらい。
そのような破壊活動を行うのにはどうするか。
これも物理的に破壊することが考えられる (ネットワークを構成する機械や線を潰せばよい)が、あまりない。 分かりやすくいうなら NTT の電話線を切ってしまう、などの手段である。
インターネット時代では、ウィルスの感染作業のために ネットワークが破壊されることがしばしばある。 最近の例でいえば、 MS Blaster というウィルスが蔓延して、 ネットワークが麻痺したということがあった。 これは、自分自身をネットワーク上に乗せて次に感染する PC を探すことで、 ネットワークの渋滞を引き起こしたという例である。一般の方が思うほど インターネット回線は通行しやすいものではないのである。 他にもいろいろあるが、E-Mail を無差別に送りつづけるタフなウィルスとか。 E-Mail もインターネット回線を通じて送られるので、 無秩序に送られると簡単に渋滞する。一時期の正月メール状態である。
不必要にネットワークに繋がない。繋ぐならファイアウォールソフトは必須。 ウィルス検知ソフトも必ず用いて最新状態に保つ。できれば、 ブラウザ(Internet Explorer)、メールソフト(Outlook, Outlook Express)も、 より安全なソフトを探した方がよい。 ヒントになりそうな?リンクを参照のこと。
PC がよっぽど必要なものであれば、物理的な破壊に対する対処も必要である。貯金通帳、カード、高級家財などと同じ扱いをすべきである。
個人情報が漏洩しているなどという話は日常茶飯事なので、 あくまで PC を使うということに限定するならば、一番身近なのは、 住民基本台帳ネットワーク(いわゆる住基ネット)である。
なぜ、住基ネットか。一人一人に個別の番号が与えられたというのは、 個人を特定するのが、コンピュータにとって非常に楽になるということである。 私たち情報屋はシステムを作るたびに一人を特定するコードを作成する。 そうしないと、コンピュータが分かってくれないからだが、 住基ネットの番号はそれを全国民に対して作成したものである。
さて、それの何がまずいか、というと、その番号があれば、 何でも情報がくっつけられると思っていただきたい。 公的には名前と生年月日と住所がくっついている。が、一旦、 その番号が公的機関から漏出すれば、たとえば、貯金がいくらで借金がいくら、 といった情報や、写真などの容姿に関する情報、もろもろ、 その番号を元に一元管理できてしまう。なんと言っても政府のお墨付きだから、 その人物がいることは間違いないのであるから、これほど確実な番号はない。 これに電話番号までくっつければ、 その個人の首根っこはつかんだようなものである。
住基ネットに限らず、個人を特定して、その人の行動を推測するのが、 企業営業的には効率的である。個人の特定ができる情報に価値がある。 特定さえすれば後は調査次第でいろいろな情報をくっつけられるからである。 だから、住民基本台帳番号は知られてはならない。
インターネット上で注意すべきは個人情報の入力そのものである。 よっぽど信頼したサイトでない限り、個人を特定させる情報は教えてはならない。 暗号化していようが、関係はない。要は、そのサイトがどう扱うかだからだ。
商業サイトによく書いてある「プライバシーポリシー」とは、 そのサイトの個人情報の扱い方を明示したものである。もちろん、 あくまで宣言であって、 本当にそのような扱いをしてくれるかどうかわかったものではない。
もちろん、第三者がネットワーク上の盗聴をして盗み出すこともあるが、 そんなことをするまでもなく、正面から聞き出せばよい、ということである。
資本主義においては、限られた市場(つまりは儲け)を、 いかに他企業を出し抜いて得ることができるかが鍵である。 つまり、自社のやろうとしていることを他社に知られては、勝負にならないのである。
情報産業では企業ユーザの情報を基に活動するのであるから、 当然その企業の情報を掴んでいる。経理関係のシステムを組むなら、 経営状態まで見られることがある。またはセールスポイントになる技術の場合もある。 そして、われわれ技術者はその企業内部に入ることが多々あるので、 企業内での活動を目にすることができる。
そう、われわれ情報産業自体が危ないといってよい。やろうと思えば、 その情報を流して利益を得るなり、盾にとって強請るなり、し放題である。
もちろん、そんなことが表沙汰になれば、犯罪として処罰され、 犯行を行った企業は立ち行かなくなるが、被害に遭った企業も立ち直れないだろう。 被害に遭ってからでは遅いのである。
ただ、ここらへんになると、一会社員が考えることの範囲を超えてしまっているので、 あまり言及しない。
とにかく自分から情報を晒さないこと。一旦流出してしまえば、 当人の手を離れて一人歩きするのが情報であることを強く認識していただきたい。 また、情報を渡す相手に付いても吟味が必要である。 秘密話ができる相手かどうかを見極めるのと同じである。
「プライバシーマーク」 というのがある。ISO などの認定などと同様に、 ガイドラインに従った企業活動を当該企業が行っている、と第三者機関が認める制度。 認定を受けていることで、ある程度その企業を信頼することができる。