ガイドラインの叩かれ台-2004.8.15

ガイドライン策定の前提についての呟きを上にアップしたのですが、文句ばかり言っていても物事は始まらないので。

拙いながら書いてみます－ガイドラインの叩かれ台

但し法律上や技術的、論理的定義などは私の理解が不充分な為、すっ飛ばしています、ご了承ください。

■　情報セキュリティに携わるという事はごく一般的なコンピュータユーザー　　よりも高度な技術的情報や、それを応用した技術情報に触れる機会が多い

補足1:所謂「セキュリティツール」や「レスキューツール」には便利で有用な面と、その反作用としての悪用の可能性という側面は否定できない。
セキュリティを考えるという性質上は、それらの反作用（悪用）についても充分に理解する必要があるが、その反作用（悪用の可能性）を一般に公開すべきかすべきでないかの判断は現状、各自の判断に委ねられている。

補足2:日本では現在は非常に抑制された表現が殆どで、反作用を悪用する側面を積極的に公開する動きはあまり見られないが、Web上では各国語で悪用の面を強調している場合もあるし、単なる技術情報としての記述でも悪用の可能性に触れたものも存在する

補足3:情報セキュリティに携わるものにとっては有用で便利な面だけを理解するなどというのは片手落ちで、それらの便利さの裏にある悪用の可能性を常に意識し、また理解するのは当然なのだが、反面悪用の可能性についての公開という点ではどこからどこまでが公開しうるのかの線引きが不明なのも現状である

■　法に触れない配慮や考慮は改めて述べるまでもないが、更に情報セキュリ　　ティに携わる者には社会通念上も高いレベルでのモラルを持ち、保ち続　　　ける「知りうるもののプライド」が求められる。

補足4:現状は「不正アクセス禁止法」などの判例がまだ乏しく、電子計算機のアクセス権の定義なども計算機自体のアクセス権なのか、計算機上のソフトのWeb上での動作についてのアクセス権なのかも不明確な部分がある

#稚拙な記述で申し訳ない

補足5:社会通念上というはなはだ曖昧な用語を使わざるを得ないほど、広範囲に渡るモラルに起因する事件が多い

補足6:実際には個人情報流出事件などでは内部犯行が多く、かつまた内部犯行者はID,パスワードなどを知っている管理者権限を持つ者が多い

補足7:モラルというものは職業、資格、経歴などと無関係な個人の資質に属するもので事前に類推する事が困難でもある。
但し、「人としてどうか」を観察する事により類推が一部可能な場合もあり、その為には上に挙げた職業･資格･経歴などにとらわれない「コミュニティ」の意見も参考にはなりうる。

補足■　セキュリティコミュニティの存在意義は、相互情報交換もさることながら第三者機関としての公平性と「人を見る」事による、より有用な人材を見い出し、情報セキュリティ関連全体に対する貢献を目指すものである

補足8:緩やかな人と人の繋がりで構成されるコミュニティだからこそできる商業ベースやしがらみにとらわれない発言や意見交換で、互いに研鑽し合いまた認識を新たにできる側面もある。

補足9:コミュニティのスタンスは様々であろうが、少なくともセキュリティを標榜するコミュニティである以上は、触法行為はあってはならないし、勿論モラルの点でも高い水準が要求されるのは自明であろう

補足10:Web上での情報公開の判断の可否、また公開情報の取り扱いなども先に挙げた「情報セキュリティに携わる者」と同じかそれ以上の配慮が求められる

補足■セキュリティ教育は一体どのレベルから必要なのか
私見ながら「躾」の問題から始めざるを得ないのが現状だろう。

技術的教育や経験も必要だが、その前に「道徳教育」に陥らないように留意しながら「やってはいけない」事や「公開してはいけない」などを理由を明確にしながら伝えてゆくのが重要である。

補足11:「セキュリティは人」であるという原則から鑑みても非常に遠大かつ困難ではあるが、これからの情報セキュリティを担う人材には是非とも「躾」からの教育を考慮していただきたい。

補足12:セキュリティを考えるという事は今後は人命に関わる問題も数多く出てくることが予想される。
その時に「一体何が大切なのか」を理解し、対処するには人生や人命を大切にするという人としての大切な資質である事柄を真摯に考える必要があり、また指導者は技術面のみからの評価に陥らないように留意する必要がある。

2004.8.15メモ