失敗事例収集の難しさを Slashdot Japan に見る

2日ほど前に「安全かつ手軽にファイルをやりとりしたい場合、どうすればよい?」というストーリーが Slashdot Japan に立っていた。今日の時点で100コメント以上の議論が交わされている。

http://slashdot.jp/security/article.pl?sid=08/09/05/0646255

人より少しだけ暗号にうるさいというレベルの私が見ても、相変わらずというか、コメントは玉石混交。ネタも混じっているので、「知っている人」が読めば面白おかしいで済むのだろうが、紙一重で知らない人が、このコメントを信じてしまったら後々損害賠償請求されたりしないか? といった次元のものまである(損害賠償請求が通るとは思えないが、請求するだけならできる。本当にやってしまいかねない人は、私の身の回りにもいる)。

こういったコメントを大まかに分類してみると
・まじめに方法を提案するものとその検証
・過去の失敗事例を紹介するもの
・ネタ、オフトピック
の3種類くらいに分類される

このうち、「まじめに方法を提案するもの」については、ほぼ全部のコメントがネット上での過去の議論の焼き直しになっている(今回は Slashdot Japan 一箇所に話がまとまっているので便利は便利だ)。
それくらい語りつくされた分野であるはずなのだが、毎回、「暗号技術入門者の一歩手前」の人が現れて誤った提案をし、先輩方に軽く「論破」されるパターンが繰り返されている。身近に自分より暗号に詳しい人がいなかった、あるいはそういう本でも読む機会がなかった人なのだろう。こういう電子掲示板で論破されたほうが、まだ将来の糧になっていい。
いずれにせよ、漫才のように決まったボケが現れて決まったツッコミが入るので、これはまあ、よしとしよう。

こういったストーリーでの一番の楽しみはそういった「まじめな提案」ではなくて、もちろん「ネタ」でもなくて、やはり「失敗事例の紹介」だ。
・暗号化ファイルを添付したメールにパスワードが書いてあった
・何でもかんでも自己展開型の暗号化 EXE ファイルにしたら、ウイルスと区別がつかなくなった
・BASE64でのエンコードを暗号化と称していた
などなど。
こういった「失敗事例」がたくさん挙げられていると、自社の対策の参考になってよい。
そしてお礼に私のところでもこういうことがありましたという事例を参考資料として書き込みたいのだが、ところがどっこい、いくら匿名の Slashdot Japan とはいえ、「絶対に匿名であるという保証」はない。むしろ「匿名で済まされる保証は絶対に無い」と言ったほうが正確だろう。なので、そのような失敗事例を書き込むのはやはり憚られるものがあるのだ。

私の勤め先でも、業界をあげて間違ったセキュリティ基準を適用しているんじゃないか? と言いたくなるくらい、複数のお客様で、同じように誤った暗号運用をやっている事例が見つかっているのだが...とても具体的には書けない。
ただ、気付いたところについては、なるべく先方に伝えるようにはしている。しかしそれでも、担当者レベルではどうしようもないようで、状況はまったく改善していない。事故が起こるまでこのままになるのだろう。トヨタ車の合鍵事件のように(どうしてあんな単純ミスが発生したのだろうね?)。

過去の単発の失敗で済む事例や、マスコミで報道された事例(毒ギョーザ事件など)ならば、失敗事例の公開・蓄積も容易なのだろうが、暗号運用のように、現在も失敗が継続中だったり、失敗を公表すると過去に遡って被害が出てしまったりするような事例では、「公表」というものがなかなかできない。
当事者間で注意し合うという次元での対応になるので、対策が全然進まない。同じ失敗をする人が後から後から出てきてしまう。

全部公表してしまったほうが社会のためになるのだろうとは思うのだが、損害賠償だとか信用失墜だとか、色々なことを考えてしまうと、私も、どうも逃げ腰になってしまう。どうしたものか...

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック