RukeとLuNaYuの日記
I know the truth.
I know whole.
And I...know you.
平凡な大学生活の日記です。時折まじめな長文を書く病気になります。興味がなければ読み飛ばしてください。
201706 << 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 >> 201708
スポンサーサイト (--/--/--(--) --:--:--)
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
セキュリティ (2005/12/09(金) 01:15:23)
「ウハ、三井住友銀行の素晴らしいセキュリティ教室」

確かに素晴らしい。大体ネットワークセキュリティのお話は、ハッカーというとんでもない能力を持った集団が超自然的な力で攻撃を行っているかのように扱われがちで、それは完全に、商売人の都合だ。つまり、それによって何かが起きたときに責任を負わないですむし、またセキュリティ関連の商売を行う上でも責任を負う事なくいくらでも金を搾り取れるようになる。

しかし一般の利用者にとって、こうすればもっと安全性が高まる、ああすればもっと安全性が高まるなどと「上級者への道」を説き、あまつさえ「安全性と利便性のトレードオフを見極めて必要なレベルを判断しろ」などと言い出す始末の「セキュリティ講座」は全くもって無意味だ。

本当にセキュアな状況を実現しようと思ったら、単純で一貫性のある指針を提示する必要があるのは明らかだ。状況判断やスキル、またより高度なアプリケーションやソフトウェアの導入を求めるような議論が出てきた段階で、それは業務など一定の拘束が有効な個々の狭い範囲を除いて、全く無意味になってしまう。

で、長い間「時代の流れに乗ってWEB上でのサービスを始める」という事だけに注意が行っていて、まさにビジネスを如何に成り立たせるかという視点でしかセキュリティを捉えてこなかった銀行が、こういう風に消費者側の視点に立って望ましい行動の指針を提示するようになったというのは素晴らしい事だろう。特に、こういう解説を掲載するということは、このような方針で行動する限り利用者が不便をこうむる事がないように、銀行側が注意を払わなければいけないという事であるのだから。

あと、特に素晴らしいのは、電子署名が正しく検証された場合に、さらにそのWEBサイトが信頼できるのかの判断を利用者に求めるという事をしていないという点だ。

電子署名それ自体に関連して「信頼される/されない」という言い方がされる事があってややこしいのだけど、電子署名が保証するのは、あくまで、そのWEBサイトが確かに、そのWEBサイトが主張している所の、実体性のある団体・組織によって運営されているという事だ

だからそれは決して、そのWEBサイトの安全性を保証するわけでない。そこで良くある「セキュリティ講座」では、電子署名によってそのWEBサイトの身元が明らかになった後にさらに、それがまともな団体であるのかどうかを注意深く判断せよ、という。

怪しいサイトを利用しないというのは、確かにセキュリティを確実に向上させるけれど、そういう事を言ってもほとんど意味がない。利用者が知りたがっているのは、どんなサイトが安全に利用できるのか、ではなく、どのようにすれば今から利用しようとしているサイトを安全に利用できるか、だからだ。

特にこの手の怪しいサイトを利用しないようにしましょう、という言い方は、非常にしばしば、「うちは怪しくない、良い組織、良いWEBサイトだ」という認識を伴って行われてきた。それはむしろ、市場競争の一環として行われてきた節すらある。

しかし、ウイルスやスパイウェアといったWEBの利用に伴うトラブルを、「怪しいサイトを利用するからそういう事になるんだ、自業自得だ」という風に捉える風潮は、例えばトラブルに際して人に相談しにくいというような形で無闇に状況を複雑にしてきたし、サービスを提供する側の責任を常に曖昧にしてきた。

しかしそうやって企業や組織の責任というものがなおざりにされてきて、しばらく前の価格.comの事件のような事が起きれば、到底誠実な対応は行われないのだ。

だから、電子署名に関しての指針はやはりまず第一に、きちんと検証を通らないケースではサイトの利用を取りやめるという事で、それ以上を言うべきではないと思う。それはつまり、WEBサイトの安全性に、それを運営する組織が責任を負うという事だ。銀行が、そのような価値判断を求めず、署名の検証が通らなかった場合にだけ注意を喚起するという事は、技術によって正しくその銀行のサイトである事が保証されれる状況でそのサイトを利用する利用者に対し、銀行自体が一定の責任を負うという事の間接的な表明であると言える。

まあ、そうは言っても、まだまだ組織、企業側の責任というのは明確にしようとする段階にすらなっていないというか、なかなか議論になりにくい状況なんだよなあ。

WEBサービスの提供、というのは、国際的な流れに乗り遅れるな、という危機感の下で進められてきたという側面があるし、そうなればどうしたってビジネスが成り立つかどうか、という視点が支配的になる。そうやって、利用者、消費者にばかり責任とリスクが押し付けられてきた。いいかげん、状況が好転してくれないと困る。
スポンサーサイト
コメント
この記事へのコメント
コメントを投稿する

管理者にだけ表示を許可する
トラックバック
この記事のトラックバックURL
この記事へのトラックバック
(C)Copyright 2003-2007 by Ruke All rights reserved. Powered By FC2. VALID HTML? VALID CSS?
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。