秘密主義は,ユーザー自身によるリスク評価を不可能にしてしまう。
ネットワーク障害を報告させるようにすれば,電話会社はサービスを向上させようとする。消費者は各社の信頼性を比較して,最適な会社を選ぶようになるからだ。情報公開が要求されなければ,電話会社は信頼性に関する本当の状況を隠せてしまう。
秘密主義の支持者を見れば分かる。ソフトウエア・ベンダーは,脆弱性情報をできるだけ秘密にしておこうと望むものだ。電話会社は,「障害は隠せ」というDHSの勧告を大々的に触れ回った。DHSのアイデアは,秘密主義を支持したい企業にはメリットがあるが,消費者や市民,社会にとっては無益だ。
9月11日のテロ事件以降,秘密主義と公開主義が衝突している。米国政府は,多くのテロ対策について――それどころか定期的な政府の活動さえも――詳細を隠そうとしている。プラントのインフラや政府施設に関する情報も秘密にしている。空港で特定の搭乗客にマークをつけるプロファイリング情報も秘密だ。色を使ってテロの脅威の度合いを示すDHSの“標準カラー・コード”についても,詳細は秘密だ。テロと無関係の政府の活動に関する情報さえ隠されている。
こうした秘密主義により,テロリストから情報を隠すことができる。特に,自力では脆弱性を見つけられないような“レベルの低い”テロリストには効果的だ。しかしそれと同時に,一般市民――政府はこうした人たちに最終的な説明責任がある――から,テロ対策を評価したり,対策の効果に意見を述べたりする機会を奪ってしまう。セキュリティについて広く議論されることも,教育されることもないので,セキュリティが向上することはありえない。
【12月14日編集部追記】上記パラグラフには誤訳が含まれていましたので,12月14日付けで修正いたしました。【以上,12月14日編集部追記】
最近の調査によると,ほとんどの水道や電力,ガス,電話,データ,交通,分散システムは,“スケール・フリー(scale-free)”ネットワーク構造をとっている。つまり,これらのシステムには,必ず密に接続された“ハブ”が存在するのだ。攻撃する側はハブの存在を直感的に知っており,攻撃目標として狙う。防御側はハブを頑丈にする方法を検討し始めており,冗長性を持たせようとしている。ネットワークにハブがあることを隠そうとしても,全然意味はない。存在を明かして守る方がよい。
セキュリティを改善させるために市場の圧力をベンダーにかけるには情報が必要だ。こうした情報が入手できれば,我々全員の安全が向上する。ソフトウエア・ベンダーがセキュリティの脆弱性を公開せず,電話会社がネットワーク障害を報告しないとしたら,我々全員の安全は低下してしまう。そして,説明責任を果たさずに政府が活動すると,セキュリティ上のメリットは政府にだけ発生する。一般市民にメリットがもたらされることはない。
<http://www.securityfocus.com/news/8966><http://www.cnn.com/2004/TECH/07/14/...>
Communications of the ACM(10月版)に掲載した当記事の別バージョン:<http://www.csl.sri.com/neumann/insiderisks04.html>
Copyright (c) 2004 by Bruce Schneier.
◆オリジナル記事「Keeping Network Outages Secret」
◆「CRYPTO-GRAM October 15, 2004」
◆「CRYPTO-GRAM October 15, 2004」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
