Baldanders.info

ひさしぶり「サイバーノーガード戦法」

「アメーバなう」や「アメーバブログ」周辺で起こっているインシデントについては私の Bashboard にも流れ始めているが, これをみて「サイバーノーガード戦法」というフレーズを思い出していたら, みんな同じことを考えていたのか, 「サイバーノーガード戦法」に関する reblog がいくつか流れてきた。 これだから Tumblr は面白い。

私はもうそういうのを深追いしないようにしているので(ネットワーク・セキュリティの管理者をやってたのはもう何年も前のことだし), 該当企業が実際に「サイバーノーガード戦法」をとっているのか, または「カンチョー」と呼ばれる行為の是非については知らないふりをする。 (個人的には「カンチョー」なんて下品だとは思うが)

「サイバーノーガード戦法」については 元ねたとされる記事Wikipedia あたりを読んでもらうとして, 最近では 「Langley のサイバーノーガード日記 サイバーノーガード戦法が破れる日? 三菱UFJ証券の顛末」 なんて記事もあって, もはや「サイバーノーガード戦法」は見合わなくなってきているのでは? という観測もある (サービス提供者から見た「サイバーノーガード戦法」のメリットは「安上がり」であるということだからだ)。 セキュリティはプロセスなので, ある時点でインシデントが発生するのは避けられない。 昔はセキュリティ的には Defect ではなかったことが, 状況の変化によって Defect になってしまうというのはよくあることだ。 ここで大事なことはインシデント・レスポンスをいかにうまくやるかである。 場当たり的な対処は不信の連鎖を呼ぶ。 今ではよく知られている CSRF 程度の穴を塞いでないってことは他の穴もあいている可能性もあるし, もっと言えば「ひょっとしてアメーバのサーバ乗っ取られてるんじゃねーの?」ってな疑惑もわこうというものである。 そういった疑念を払拭できるかどうかは今後のサイバーエージェント社の態度にかかっている。

リスク管理の専門家である中西準子さんは, ご自身の雑感「常識を科学にしたかった」でこう書かれている。

「常識と私が言うのは、リスク評価は誰でもやっていることだ、ある種常識である、生きるために誰もが持っている能力である。ただ、それは、個人個人で変わるし、はっきりしたものがなければ、いつもくるくる変化してしまい、最終的に損をすることになる。そうそう、リスク評価とは、損しないために考える術なんです。でも、いろんな損がある、どうしたらいいか?我々の日々の悩みである。悩みつつも、我々はリスク評価をし、何かを選んでいる。
そういう常識、リスク評価をどうやって科学的にできるか、それが今回の課題である。科学とは何か、私がこのフレーズに込める思いは、比較できるようにすること、多くの人が見ても、そうだなと納得できるものにすることである(これまで持っていた価値観、思想、宗教観を超えて、選択ができる、そういう説明力のあるフレームを提供する)。個人個人の選択にそれほど立ち入るつもりはない、しかし、社会政策としては、どうしても必要なことだ。」

セキュリティのリスク管理も同じことだ。 むしろセキュリティのリスク管理こそ科学的であることが求められている。

photo
環境リスク学―不安の海の羅針盤
日本評論社 2004-09
評価

水の環境戦略 (岩波新書) 環境リスク論―技術論からみた政策提言 演習環境リスクを計算する 選択―リスクとどう付き合うか 環境リスク解析入門 化学物質編

by G-Tools , 2009/12/18