ガイドラインについての呟き-2004.8.14

実はもうちょっと暖めてから書こうとしていたが、私の文章力ではそんな事を
言っていてはいつまで経っても公開できない。

けれど「セキュリティガイドライン」を策定、討論、議論する前にもっと必要な事があるのではないのかと思ったので書いておく。

#前提として所謂業界、非業界無関係にセキュリティというものに興味を持つ者の意見が「偉い人達に」受け入れられるのかどうかというのもあるがね

呟きなので文章にはなっていない、ご了承ください。

そもそも「セキュリティガイドライン」を策定する前の段階から考えなければならないことがあるのではないのかと思う。

セキュリティは人だよね･･･というのはある程度セキュリティに興味を持ったものならゆきつく結論の一つではないか。

では「セキュリティガイドライン」を策定する前にやる事はないのかと。

それの一つの提案が「セキュリティ関係者自身のガイドライン」でもある。

率直に言ってこれまでもセキュリティ関係者達自身が自らやってはならない事をしでかし、被害を出した事例もある。

現在公判中の事件もそう。

事件性には乏しいけれど「モラル」の点でどうかと思われる事例もある。

最近の日記部分で多く書いてきた事柄は「モラル」でもある。

セキュリティ面でもモラルの低下から招いた内部犯行や、甘い運用実態によって引き起こされた出来事も多いのだ。

運用と一括りにしてしまうとさも専門的な分野のようだが。

具体的に言うと立派な資格を取得して、それをでかでかと書いている企業による個人情報取り扱いの杜撰さ･･･とか
#最近のWeb上では近畿大学関連の就職関連企業とかががありますね

私自身も地元で著名な公的セキュリティ関連団体のセミナーを受講した際、口頭では何の事前通達もなしに写真撮影をされている。

#帰ってきてから目を皿にして写真撮影についての但し書きがあるかと資料を読んだがそれもなかった。

#それ以来、その公的セキュリティ関連団体というのは信用できない

遠隔地に居住する為にあまり実際には色々な所に行けない私でさえこのような事例に遭遇したり、またWeb上でも散見する。

運用というとさも機械を無事に稼動させるというイメージがあるが、実際は人間の意識というのも運用面では非常に重要だし、いくら優秀な機械でも所詮は人間の運用に委ねられている以上、大切なのは何よりも携わる者の意識なのではないのかと思う。

正直な意見を言うと。
セキュリティそのもののガイドラインというのは策定も定義もさほど難しいものではないかと思う。

時間はかかるし、法律自体も判例に乏しい為に解釈が現状困難という点があるし、また膨大な量になるがそれでも優秀な方々がやればさほどのものではない。

ただ、それが単なる「能書き」に陥りやすいのではないのかと危惧はしている。
#所謂「道徳の教科書」ね

その危惧の第一の理由が「セキュリティを考えている人達自身のガイドライン」はどうなっているの･･･なのだ。

私見だが。
私は情報セキュリティに関わる者はごく普通以上のモラルを求められるものだと思っている。

「身内だからいいだろう」だとか
「この人はこういう人だから」しょうがない
「まあまあそんな固い事言わないで」
「それぐらいいいじゃん、洒落だし」

上に例えた事柄は一般的な生活面では人間関係を円滑にする為には少々の妥協や、片目をつぶるという事も確かにある。

けれど一旦情報セキュリティという場所に脚を突っ込んだ者達がそういう妥協を相互にしていくと、端から見て非常に違和感を持たれるのは間違いないし、また「人は安きと低きに流れる」原則からいって更には情報セキュリティ（コミュニティも）自体が「安きと低き」に流れる可能性を危惧している。

では何故普通以上のモラルが求められるのか

私のように趣味で興味を持ったものでさえ、その気になれば人様の情報を取得できる場合もある。

具体的に言うと。

私は場末の焼肉屋のオバちゃん。
深夜に疲れ果ててご飯を食べに来るお客さんも、出張で見える方もいる。

こちらは単なるご挨拶のつもりで「遅くまで大変ですねえ」と。

うちは飲み屋さんではないので向こう様が話さなければそれほど会話ははずまないが、でもたまには色々な会話になることもある。

また、テーブル席に数人でおみえになって仕事の話をされている方々もいる。

その中にはシステム関連の話でしかも非常に聞いてはまずい話も漏れ聞こえてくる場合もある。

カウンターのお客が愚痴まぎれに社員証を見せながら「この社員番号がないとコンピュータにアクセスできなくてさあ」

と仰る場合もある。

勿論情報セキュリティとは無関係でも商売で得た秘密は墓まで持ってゆくが、しかし実際は驚くほどの情報が何もせずに得られてしまうのも事実だ。

私は自分自身をモラルのある人間であるなどとはとても恥ずかしくて言えないが、せめて期せずして聞いてしまった情報はなるべく早く頭から消そうとは心がけている。

多分、場末の焼肉屋のオバちゃんがこんな事を考えているであろうとは露ほども思わずに、お客さんは言ってしまっているのだろうから。

余りにそういう事例が多すぎるので、しょうがなく店には貼り紙をした。

「ここにはコンピュータ触る人間がいますよ」という警告のつもりで。

けれど、その意味は中々受け止めてもらえず何日かに一度は苦笑いをしてしまってもいる。

横道にそれてしまったが。

セキュリティの為のガイドラインも重要だが、それよりも先に「人様の情報を触る可能性のあるセキュリティ関係者の為のガイドライン」が必要なのではないのかと私は思う。

勿論それらにはセキュリティ（を謳っている）コミュニティも含まれる。

当然ながらセキュリティコミュニティの構成員も。

我々自身が自らをより厳しく律し、また相互で「まあまあ」「なあなあ」にならないように心がけながら我々自身のガイドラインを作り出すのが先ではないのかと。

我々自身がそこのところをいい加減にしていては到底他の方々の理解も賛同も、そしてセキュリティガイドラインの遵守も望めないと思うのだが。

呟いてみた。
2004.8.14