何十年も前から,米国政府には軍事機密をしかるべき方法で取り扱うためのシステムがある。情報は「Confidential(内密)」「Secret(機密)」「Top Secret(最高機密)」や,Top Secretよりも厳しいさまざまな機密レベルに分類される。機密情報の扱い方は厳格に決まっていた。「機密に関する話題は,暗号化されていない電話回線で話すことが禁じられている」「機密情報は,安全性を確保していないコンピュータで処理できない」「機密文書は,鍵のかかった金庫に保管しなければならない」――といった具合だ。このように極端に厳しい手続きになったのは,仮想敵国(ソビエト連邦)が機密情報の入手に対して強い動機を持ち,資金が豊富で技術的にも優れていたたためだ。
政府が機密情報を指定したり,機密にしておく期間を決めたりする行為に対して,議論の余地はあるだろう。しかし,機密にしておくべき情報のことを考えると,一連の手続きは合理的といえる。
1993年,米国政府は情報の新しい分類レベル「Sensitive Security Information(SSI:重要なセキュリティ情報)」を作った。コロンビア特別区裁判所の判断に従い,SSIに分類される情報は航空機に乗る人々(air passengers)の安全(safety)に関するものだけに限定されていた。この適用範囲は,2002年に大きく拡張された。米国議会が「air」と「passengers」という2つの単語を削除して,「safety」を「security(セキュリティ)」に変えたためだ。現在,多くの情報がSSIに該当する。
「政府はどういった情報をSSIに指定するのか」や「政府は,内部の活動を公の目から隠すためにSSIを作ったのではないか」といった議論はあるかもしれない。しかし,それらは別の問題だ。鍵が守ろうとしている対象について議論しない限り,鍵そのものの仕組みは議論できない。しかし,その対象を守ることがよいアイデアかどうかを議論しなくても,鍵の仕組みや保護対象を語ることは可能だ。SSIは,テロの脅威から情報を守るために設けられた。守らなければならない情報が存在し,その情報を狙っているテロリストがいる,という状況を考えてみよう。
SSIに分類される情報に適用されるルールは,従来の機密情報に課されるルールに比べてずっと緩い。従来の機密情報は,アクセスに先立ち政府から許可を得る必要がある。SSIにアクセスするには,機密保持契約(NDA)にサインするだけでよい。機密情報を漏らすと刑事罰の対象となる。SSIを漏らした場合は民事罰で済む。
SSIなら,情報を暗号化していない電子メールで送ることができる。添付ファイルをパスワードで保護すれば十分なのだ。SSIの情報は,自宅に持ち帰ったり,飛行機の中で読んだり,公共の場で話したりできる。SSIの情報を知っている人は,知る許可を受けていない人にその情報を知られてはいけない。ただし,「相手に知られていない」と本人(情報を知っている人)が確信できれば,それで十分だ。実際のところ,SSIのルールは,政府の軍事機密よりも企業秘密に似ている。
当然,SSIに分類される情報は従来の機密情報より盗まれやすい。これは,セキュリティ上のトレード・オフの問題である。脅威が小さいので,施されるセキュリティ対策も少ない。
米国政府が旅客機に関する情報を扱おうとしたところ,SSIという機密レベルを設けるしか選択肢がなかったのだ。例えば,テロリストの“監視”リストはSSIに分類されている。このリストが悪人の手に渡ったら,国家セキュリティに悪影響が及ぶだろう。しかし,このリストにアクセスする人の数を考えてみよう。乗客がリストに掲載されていないかを調べるため,各航空会社に1部ずつ必要となる。国内線を運行する航空会社だけでなく,国際線の会社もリストを必要としている。配布対象となる海外の航空会社のなかには,米国の外交政策に賛成していないところもあるだろう。警察についても同じだ。米国内の警察に限らず,国外の警察もリストにアクセスする必要がある。私の見積もりでは,リストにアクセスする人は1万人以上だろう。そして,こうした人々全員にセキュリティ審査を行うことは現実的でない。米国政府は,リストにアクセスできる人物に課すルールを緩めるか,政府の望む方法でリストを使うことをあきらめるか,二者択一を迫られた。
また,軍事的脅威とテロの脅威は全く性格が異なる。軍事機密の分類と取り扱い方法は冷戦中に決められたもので,ソ連の脅威から影響を受けた。テロリストは対象が絞りにくく,資金が乏しく,技術的に大したことがない。この種の敵に対しては,SSIのルールのほうが,軍事機密ルールよりもずっと合理的だ。
米国政府のSSIルールには感心した。情報の特定部分を隠す必要があるかどうかや,SSIなどの分類ルールが政府の活動を隠すためにどう使われるかについては,いつでも議論できる。政府の隠している情報の大部分は秘密にする必要がなく,ほとんどの場合,情報公開はセキュリティの向上につながる。しかし,もし秘密主義が有効だと仮定すれば,SSIは,新たな脅威に対抗する秘密主義のルールを定義することになる。
SSIの背景:
<http://www.cjog.net/...>
SSI保護に関する米運輸保安局(TSA)の規則:
<http://www.fas.org/sgp/news/2004/05/fr051804.html>
SSIを取り巻く論争(PDF形式):
<http://www.fas.org/sgp/crs/RS21727.pdf>
秘密主義がセキュリティ低下を引き起こすことについての私の記事:
<http://www.schneier.com/crypto-gram-0205.html#1>
厳しすぎるセキュリティの問題に対するジョージ・ワシントン大学国家セキュリティ記録保管所ディレクタのコメント:
<http://www.gwu.edu/~nsarchiv/news/20050302/index.htm>
Copyright (c) 2005 by Bruce Schneier.
◆オリジナル記事「Sensitive Security Information(SSI)」
◆「CRYPTO-GRAM March 15, 2005」
◆「CRYPTO-GRAM March 15, 2005」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
