セキュリティスタンダードの終焉

　高名なフルート奏者「山形由美」のフルートが盗難にあったらしい。
　コインロッカーに入れていたのだそうだ。

　無事戻ってきたらしい。きっとフルート奏者「ゆみ」さんの人気が高く、彼女のフルートなら金になりそうだと思い「ゆみ フルート」で検索して、山形由美さんを見つけたのだろう。しかし今やフルートの「ゆみ」というとYUMI。間違ったことに気がつき返した、とこんなところじゃないだろうか。ところでニュースを聞いたなかで「YUMIちゃんのフルート吹きたい、間接キッスしたーい」と萌えた青少年はどれくらいいるだろうか。

　相変わらず、悪意を感じさせる文章である。もちろんだ。ニュースを聞いた感想は「同情の余地無し！コインロッカーに入れていたのが悪い」である。
　もしこれが「個人情報」だったら盗まれた方が悪いとあたりまえのように言われるからだ。車上荒らしで盗まれたのでも個人情報を車に放置していた奴が悪いとされるのだ。コインロッカーに入れておけば更にボロボロに言われるだろう。
　そこまで行かなくとも「楽器をコインロッカーねえ」とあきれる人は多かろう。大事なモンなんだから手から離すな、楽器への愛情が足りない、くらいのことは言いそうだ。人によっては金属製の楽器ってそういうもんかねえ。湿度や温度の変化も気にしなくていいなんて楽だなあ、２本で1200万円というのも安いなあ、という感想を持つかもしれない。バイオリニストなら声に出すかもしれない。楽器にものすごく気を遣うんだから。気を抜いた人には、例えそれがクレーメルでも容赦はしない。クレーメルがストラディバリを電車の中に置き忘れた話を聞いて「気の毒」と思うより「まぬけ」と思った人の方が多かろう（これは置き忘れで盗難ではないが）。平均的にはピアニストが一番楽器に無頓着かな？これは自分の楽器を持ち運べないから仕方がないが（ミケランジェリは例外）。

　2006年4月のMicrosoftUpdateで、MicrosoftはIEの仕様変更までやってしまい、おかげでIEで開いたWebページにあるActiveXとJavaアプレットが自動で起動されなくなったそうである。ということは、いくら危険だと言われてもＩＥべったりに作ってしまうイントラのアプリで「動かなくなった」ものが大量発生しているはずだが、そういう話も聞かない。不思議だ。まてよ、この仕様変更は合衆国で成立した特許の回避のためだから日本語版は問題がないのかな？Microsoft日本法人のソフト開発力を信用していない私としては、これでIEのソースが英語版から乖離してしまった。次回のセキュリティパッチ以降、同期がとれなくなるぞ、大丈夫か、とものすごく心配になってしまった。

　調子の悪いときには、こういう低レベルの発想しか出てこないものである。

　かくして、折角つっこみどころ満載と思われる「セキュア・ジャパン2006(案)」なんてのが出てきたのに、思いつくことというと、なんだって「セキュリティの日」を設ける！？そんなことをしたら「その日に発症するウィルス」がどんどん作られて、セキュリティが低下するではないか！くらいしか出てこない。「セキュア・ジャパン」ご意見募集中だそうなので、こういう低レベルの感想出してみようかしら。無視されるだろうなあ。でもね、検証可能な意見だよ。まあ、特定の日に発病するというウィルスは最近流行らないので忘れられているかもしれないが。愉快犯を下等と見なす日本人は作らなくても外国人がつくるよ。
　まあ、その日は全インフラを一斉に休みにして、IT技術者がメンテに集中するというのなら効果はものすごく大きいと思うが。

　しかーし、内閣官房がこーんなものを作ってくれているのだ。ネタ切れの現在、くいつかないのは勿体ない。というわけで逆転の発想、なんで食いつけないのか。焦点が適当に変わるからである。政府機関のことを言っているのか、企業のことを言っているのか、一方では「IT利用に不安を感じる」個人を限りなくゼロにするなどと言っている。ここでやっと気がつくのだが、どうやら「セキュア・ジャパン」は「第１次情報セキュリティ基本計画（そういえばそんなものがあった・・・ちなみにタイトルだけ見ると循環参照）」の目標を実現するための施策を述べたつもりのものらしい。さあ、今から2006年度の年度計画についてパブリックコメントを求めて2006年度中の実現が図れるものだろうか。できるわけがない。というわけで、この「セキュア・ジャパン」を作った人の発想は「勝手な目標決めやがって（同じ委員会なんだが）、実現できるわけないだろう」が根底にあり「できないから、適用範囲はどうとでもとれるように書いておいて、あとから出来た範囲だけをとりあげて、できましたと言えるようにしておこう」というものになっているに違いない。だから読みにくいのだ。

　セキュリティに関する情報の共有、というお題目ひとつとっても、どの範囲で、どういった情報を共有するのか全く分からない。政府機関内なのか、企業も含めてか、個々人までカバーするのか。例えば「トレンドマイクロは、サポートが悪い」という情報を共有したりするのだろうか。どの会社のハードが壊れにくいか、どれくらいの期間で壊れ始めるか、といった情報ならＩＴインフラの安定度向上に直結するから共有することは重要だろう。もちろんどの会社のＯＳというかソフトがクラッシュしやすいかの情報も共有すべきだ。こういった情報はマスコミを押さえている大広告主の意向で恒常的に握りつぶされるものだから、政府が国民を守ってくれるととても助かる。が、その辺もやるのかどうか具体的には何も記載されていない。

　読んでいてフラストレーションがたまったところで決定打。「政府機関における人材育成」というのがあって、そのなかでは「政府職員の人材育成に係わる検討」、「情報セキュリティに関する資格保有率向上に係わる検討」というよくあるものに加え「（IT障害への）緊急対応能力に係わる人材育成手法の検討」というのがあげられた。
　画期的なことではある。今まで障害は「認識したくないもの」であり、責任者としては障害管理担当の顔など見たくもなかったのだろうが、ようやく重要性が公式に認定されたことになるから。が、別の目標「2009年度はじめには重要インフラにおけるIT障害の発生を限りなくゼロにすることを目指す」とぶつけると、「えー、障害発生ゼロを人間のスキルで実現するつもりなのぉ」という異論しか出てこない。IT障害発生ゼロのためには、少なくとも機器を全て４重化以上にする（４台のコンピュータの多数決で処理結果を決めさせるのだ。多数決なら、１台が故障したときにその１台を切り離すという操作が不要になるからサービス停止しない。我ながらすごいアーキテクチャーだと感心していたら、スペースシャトルがこれだったみたい）とか、本番と全く同じテスト環境を作り、１年半以上の平行稼働後、本番運用とする、くらいの施策は必要だろうに。そういう真面目なことをやらずに人に頼る、というのは絶対駄目である。これが「ITインフラ障害の回復を最短時間で実施するようにする」くらいなら、障害専担者をクライアントサーバー系なら、サーバーのCPU台数×(４〜５)人程度最低置くこと、といった基準を設ければいいのだが。

　そういえば「政府機関統一基準が求める水準の対策を実施」といいながら、具体的な基準というのがないのもなんだなあ、で、解説記事を見てみると情報セキュリティ補佐官の山口という人が「これまで情報セキュリティ政策は、各省庁レベルでは把握できても、全体としてどうなっているのかが全く分からなかった」などと言っておる。
　監督官庁にセキュリティスタンダードの整備を指示された経験を持つ人なら「そんなばかな」と思ったろう。政府にはセキュリティスタンダードがなかったのか？

　多分無かったんだと思うよ。で、それでいいと思うよ。セキュリティスタンダードのように「○、×」で判断されるものしかなかったら、常に「○」と主張しなければならないし、また一度「○」と判断されれば、基本的に見直す必要はない。だからセキュリティというものがどういうものか誰もが認識しており、実行する能力があるのであれば、思考中断を招きかねないスタンダードは無くてもいいかもしれない。
　が、それだけの人材がいなくなると、スタンダードを作らなければならない。が、スタンダードは思考中断を招く。というわけで「セキュア・ジャパン」はセキュリティをプロセスとして捉え、それを維持・改善するルールを制定し、もちろんセキュリティを担う人材も育てると・・・ひいきの引き倒しで解釈するとこうなった。
　原文が曖昧模糊としているので、こういう解釈も可能なのだ。

　まあ、いいたいことはある。IPv6の普及のためには、IPv6対応を政府納入基準としてする、とまで言ってしまえとか、個人がIT利用に不安を感じないためには、スパムメール（特に出会い系を含むエロ系）を撲滅することが必要だろうとか。が、セキュリティは○×で図るべきものでなく、幅を持つものである。それを改善するためのプロセスを確立することが重要である、と言い切ってくれれば少しは物事まともな方向に行く。元々の動機は「今頃スタンダードがないなんて言えないから、プロセス重視の姿勢を出すしかない」「スタンダードは共通化できないが、プロセス立ち上げなら共通化できる」「プロセスを目標にすれば具体的成果が出なくても、目標達成と言い繕いやすい」であったとしても。

　ぶちぶち文句をつけているが期待はしている。セキュリティ実現のプロセスを重視するということは、セキュリティを考えた経験のある人間を絶えず再生産するということである。これが大事なのだ。実際に考えた人間であらば「この場合は大丈夫」と片目をつぶってほほえむこともできる。どこがまずいか分かっている人間は、逆にミスを犯さないものだ。問題を構造的に防止するのが趣味の自分としては、流れたくはない方向だが、常に新しい事象が生じケースバイケースの思考が必要な分野では、こういう動きなしではやっていけないのだ。
　もし、ケースバイケースの判断を不要とするためにルールを固着化させるとすれば、一律禁止とせざるを得ないことが殆どとなる。すると当然同じことをするのに多量のエネルギーがかかる。すると人員削減が定着化した時代においては、現実問題として各自が個別の判断（出来心）で両目をつぶってぶっちぎらざるを得ないこともある。これが常態化するのがセキュリティにとっては一番まずいことである。
　個人的には、いつまでもこの仕事しているのもなんだなあ、、、なのだが、ここまでにしたセキュリティレベルが朽ちてゆくのも辛い。で組織がセキュリティ改善のプロセスを構造的に持てるようにするにはどうすればよいか、とは思っているのだ。要するにセキュリティに関してはCMMIレベル３に到達したが、５まで引き上げるにはどうすればよかろうかということだ。（セキュリティは計量化できないのでレベル４以上がありうるかは疑問だが自律的改善はあるだろうということで５を持ち出した。）しかし、システム開発ならレベル５へのモチベーションを持つことは珍しくないが、セキュリティ改善にそれだけのモチベーションを持たせるというのは、セキュリティ担当者の現在の社会的地位を考えると難しかろうとは思う。政府機関が率先してプロセス導入をやってくれるのはそういう意味で歓迎している。