身につまされる事件である。セキュリティ意識の啓蒙をするはずの組織のIPAから情報流出していたという。それも典型的な公私の分別がついていない、最も陳腐な事件である。個人批判よりも、セキュリティ対策とはなんぞやを改めて考えさせられる。

「おそらくShare」IPA職員が情報流出に使ったファイル交換ソフト(CNET Japan)
「IPAとして慙愧に堪えない」--仲田理事が会見で職員の情報流出事件を説明

　初心者ほどセキュリティがどうこうというのは、高度な技術的な知識ばかりを知りたがるものである。つまり高度な技術やテクニックさえ身に付ければ、それでセキュリティは守られると信じているパターンである。

　また教える方もセキュリティ技術面ばかりをもったいぶって教えたがる人もいる。そうした人たちも技術を過信しているフシがある。当然、ネットワークの基礎がはっきりわかっていない人にとっては技術は理解できないから、「セキュリティ対策は難しい」という印象を持つ。そして実用的には、セキュリティ対策技術をいくら研修しようが、それが直接利益を生み出すわけでもない。そのへんに対策を知りたがる方と教えたがる方とのギャップがあるようにも思える。

　しかし実際的には、もっと単純な話でいいはずである。初心者は高度なセキュリティのための技術を知らなくともよい。また技術がわかる人間でも、あまり人の問題には口を挟むべきでない。なぜなら人の問題は技術だけでは解決できないからだ。このへんがごちゃ混ぜになると、セキュリティホールが生じやすくなるように思える。初心者にとっては高度な技術は「生兵法は怪我のもと」になりやすい。また技術者にとっては、技術レベルが高いからといって、人の問題まで解決できると思うのは自惚れに過ぎないと思える。以前、ハッカーやクラッカーの経験者が逆にセキュリティ対策の専門家として迎えられるような話もあったが、それは単に技術的なことだけにすぎない。たとえば組織の中で、その組織の目的や方向性を理解できていない人が、広義のセキュリティポリシーなどを策定できるはずがない。それを「セキュリティの専門家だから」ということで、ポリシーから実際の設定まで、ごっちゃにしてすべてを任せてしまうことはできないだろう。

　このIPAの事件にしても、おそらく「自分は技術があるから大丈夫」という過信のもとに公私の区別を怠ったことに原因がありそうである。ひどい事件の例では、以前、やはりWinnyから警察の捜査情報が流出したことがあった。そのとき、警察の幹部が「あれほどWinnyは使うな、と言ったのに」などというコメントをしていたが、それ以前に、捜査情報を容易に私物のPCにコピーして持ち出すことをを繰り返していたという習慣の方がよほど問題であったろう。

　今回のIPAの対応はWinny使用の全面禁止だという。緊急措置ともいえるかもしれないが、それ以前に「セキュリティのプロ」としての人間的な部分での自覚の欠如が問題だろう。ポリシーがしっかりしている人だからといって技術を期待してもいけないし、技術のある人だからといって人間的な部分のポリシーに期待してもいけない。もっと細かく見れば、セキュリティは何層かのレイヤーで考えるべきである。TCP/IPなどの通信の確立と同様に、下位のレイヤーから確立していって、はじめて上位レイヤーが確立していくことになる。

　最下位レイヤーはたとえばセキュリティの最も原始的な対策である、PCや携帯を使わない、持たせない、などのことになるだろう。小中学生に携帯を持たせないという問答無用の対策と同じで、初心者には「とりあえず使うな」というレベルのレイヤーである。最上位レイヤーが人間のモラルやセキュリティ意識の啓蒙ということになるのだろうか。これが一番難しいところだろう。2008年のセキュリティ標語大賞が「敵は煩悩時にあり」だったそうだが、まさに的を射た標語だといえよう。

　IPAは中間のレイヤーの専門家(ソフトウェア導入やポリシー策定など)だといえようが、最上位レイヤーには穴があったということだろう。その緊急対策のために最下位レイヤーの「使うな」を行ったことになる。いやもっと最上位のレイヤーがあって、それは「組織の信頼」かもしれない。それを全く空白にしてしまいかねない今回の事件であった。