セキュリティ事故の責任の負い方

　前々回のエントリー「事故を引き起こした企業の側の姿勢」に対して、微風さんのブログ「格闘の日々」で、以下のようなご指摘をいただいた。

　＜もうひとつ、氏はカカクコムの無責任体質を批判しているが、よく考えてみたい。そもそもカカクコムが責任を負えるのだろうか。件の事件で仮にカカクコムが逆に「悪うございました」と謝罪したとしよう。どうも日本では「潔しを良し」とする風潮があり、その後何事も無かったのように終わったりするのでそこで収束してしまうのだが、それは本当に謝罪の上で責任を負うことになるのか疑問だ。＞

　この指摘は、きわめて重要な問題をはらんでいると思う。

　従来、日本では「責任を負う」というのは、社長なり役員なりの責任者が記者会見を開き、頭を下げ、「世間をお騒がせして申し訳ありませんでした」と謝罪することを意味していた。そうやっていったん謝罪してしまえば、確かに微風さんの言うように、「潔しを良し」とする風潮の中で、何ごともなく終わらされてしまうのだ。セキュリティ業界で最近よく言われているサイバーノーガード戦法というのは、このあたりの企業側の姿勢を揶揄したものだろう。責任を取っているように見えて、実はなんら責任を取っていないという企業の不思議な対応である。

　私が先のエントリーで「その責任の所在をはっきりとすべきなのである」「（カカクコムは）みずからの責任を否定してきた」と繰り返し書いてしまったために、ひょっとしたら若干の誤解をもたれてしまったのではないかと思う。私は「カカクコムはきちんと謝罪すべきだ」ということを書こうとしていたのではなかった。

　微風さんが「それは本当に謝罪の上で責任を負うことになるのか疑問だ」と書いたように、確かに謝罪するだけでは責任を負っているとはいえない。

　ではセキュリティ事故の責任を負うというのは、いったいどのような行為を指すのだろうか。それはつまるところ、「情報の開示」以外の何物でもない。情報を開示して、二次被害を防ぐことこそが、セキュリティ事故の責任を持つ企業の行うべきことなのである。この点については、前々回のエントリーでも書いたが、すでに社会的なコンセンサスはできている。そのコンセンサスを無視し、情報を開示しようとしない企業体質に問題がある。

　それはもちろん、どの企業だって最高のセキュリティ対策を行うのは難しいから、いい加減なセキュリティ体制の下でセキュリティ事故を引き起こし、そうしたコンセンサスがあることを知らないまま、情報を開示しないというケースだってあるだろう。世の中にはセキュリティに関心のない中小企業は相変わらず少なくないから、そうした企業を批判するだけではセキュリティは進化しない。

　しかしだからといって、事故を引き起こしてからもずっと情報を開示せず、挙げ句の果てに情報開示を求める企業に対しては秘密保持契約を要求するカカクコムの対応は、常軌を逸している。ほんの少しの時間を使って、IPAに聞くなりGoogleで調べるなりすれば、セキュリティの世界のコンセンサスがどのような者であるのかはすぐにわかるはずだ。

　いったいどうしてそうしたリサーチもまったく行わず、カカクコムは独自の路線へと突っ走ってしまったのだろうか。

　それが知りたくて私は先日、カカクコムに取材を申し込んだ。しかし同社広報室からは、以下のような返事が来て、取材を断られてしまった。残念でならない。

　＜ご取材依頼の件でございますが、容疑者逮捕が報じられ、国際警察が動くなど、まだまだ総括できる段階ではないと私どもは考えております。当方でお話できる事も限られおり、現状でのインタビューは辞退させていただきたいと存じます＞

ブログの信頼度を計測する

　blogWatcherというブログ検索システムを研究開発している東京工業大の奥村学助教授を、iNTERNET magazineの記事執筆のために取材した。奥村助教授は言語処理やデータマイニングの専門家で、ブログのエントリーが大規模な情報集合体になりつつある状況に注目し、そこに集まっているさまざまな情報をマイニングすることを考えたのである。

　blogWatcherは、情報処理推進機構（IPA)のスーパーハッカー発掘事業こと、「未踏ソフトウェア創造事業」にも採択されている。blogWatcherの持つ意味やブログ検索の現状についてはiNTERNET magazineに書いたのでそちらを読んでいただければと思うが、私が原稿の趣旨とは別に興味を持ったのは、ブログの信頼性についての考え方だった。

　ブログのリテラシーという問題は、実はきわめて困難な課題である。一次情報についてそれなりのオーソリティーを持っているマスメディアと異なり、個人が書いた特定のブログに書かれた情報がどの程度の確からしさを持っているのかを、読む側が知るのは非常に難しい。分析や評論といった加工の部分であれば、「その分析は論理的に間違っている」といった批判も可能だろう。しかし一次情報については、それが正しいのか間違っているのかを、部外者が判断するのは難しい。

　奥村教授はblogWatcherの将来について、「他のブログ検索との差別化として、マイニングの部分を精緻化していこうと考えている」と話し、そのひとつの方向性としてブログの信頼度指標を実装させることを挙げた。

　そのアルゴリズムについては今後の大きな課題となりそうだが、たとえばそのブログに対する被リンク数が多いか少ないかは、ファクターのひとつになるだろう。また案外と、エントリーの文章の長さといったことも、指標になる可能性がある。1行コメントを加えているだけの人よりは、あれこれと論評を加えている方が確からしさが高い可能性はある。またエントリーのアーカイブが大量に蓄積されているブログは、エントリーが数本しかないブログよりも信頼度が高いといえるかもしれない。

　もっともこのあたりは、かつて90年代に流行したSEOスパムと同じで、信頼度指標とその裏を書こうとするスパムブログとの争いに発展する可能性もある。しかし信頼度を計測する側が、アルゴリズムをブラッシュアップしていけば、GoogleがSEOスパムに勝利を収めたように、ある種の信頼度スタンダードを確立していけるかもしれない。

　かつて90年代には、どの情報が真実でどの情報が嘘なのかを見極めることが、インターネットのリテラシーだと言われた。でもそんなものは幻想で、ひとりのネットユーザーがネット上の真実と嘘を見極めるのはほとんど不可能だ。

　だったらその部分をコードに任せてしまうことはできないだろうか？――というのが、奥村助教授の発想なのである。

事故を引き起こした企業の側の姿勢

　少し旧聞になるが、さる7月26日にセコムトラストネット主催の「サイト攻撃！緊急対策セミナー」というイベントがあり、カカクコムの取締役である遠藤玄声氏が、不正アクセス事件の対応の一部始終を話した。この講演の内容についてはすでにITmediaなどでも報じられている。

　私が驚いたのは、この講演の中で遠藤氏がカカクコムを新潟中越地震の被災者にたとえたことだった。この話は、ITmediaの記事にも出てこない。以下、講演の該当部分のテープ起こしである。

　＜もっと驚いたのは、取材が来るのは分かっていたが、こういう不正侵入が起きたときに、その技術的な原因は何だというのを明らかにすべきだとマスコミに言われたことだった。それは一理はあるけれど、その時点では回復は行われていないし、確認も行われていない。警察に証拠を提出してる段階で、警察はあまり（外部に）言ってほしくないと言っている。状況はどんどん変わっているし、その場で落ち着いてデシジョンできないタイミングで、すべて情報を開示しろと言われて、僕らは混乱した＞

　＜弁護士にも相談したが、言うべきだというのも一理あるし、隠すというのではなく、言うことによるリスクもある。予防になると同時に、素人犯罪を誘発する可能性もある＞

　＜メディアに情報公開を迫られたのは、精神的にショックだった。ただでさえ混乱している中で、中越地震で仮住まいで体育館で、メディアに『何食べてるんですか』と聞かれるとショックだ、というようなものだった＞

　確かに新潟中越地震の際、避難所で生活しているお年寄りたちにマイクを向けたテレビの記者たちの姿はあまりにも傍若無人だったし、節度をわきまえないものだった。そもそもそうした取材が必要なのかどうかという議論も行うべきである。

　しかしそうした大規模災害における報道姿勢の問題と、セキュリティ事故における報道というのはまったく異なる。なぜならセキュリティ事故においては、不正侵入なりウィルス感染を引き起こした企業の側が、「圧倒的な無辜の被害者」であるということはあり得ないからだ。クラッカーがすべて悪いと決めつけるだけではなく、事故を引き起こした企業の側もきちんと情報を開示し、その責任の所在をはっきりとすべきなのである。

　ところがカカクコムは、当初から社長が「わが社は完璧なセキュリティ体制を敷いてきた」と言い募り、みずからの責任を否定してきた。その無責任体質が、セミナーでの遠藤氏の「被災者発言」にもつながっているように思えてならない。

　遠藤氏はセミナーで「情報を公表するリスクが読めなかった」と何度も繰り返し、会場から「公表のリスクが読めないということをおっしゃるが、公表しないリスクは読めたのか？」と聞かれると、次のように答えた。

　＜リスクをすべてあの時間に分析するのは無理だった。どちらにも一理あるのはわかったが、天秤をかける時間さえなくて、ある選択肢をとったというのが正直なところだ。もう一度起きたら同じアクションをとったかと言えば、全然別の話になる。こう言うときにはこういう風にした方がいいというのを、社会的コンセンサスを作った方がいいとは思うが、サイバーテロというのは過去にあまり起きていない＞

　そもそもみずからのシステムの脆弱性が原因で不正アクセスなどを許してしまった場合には、二次被害を防ぐために被害企業は一刻も早い情報の開示が求められている。これはセキュリティ業界のコンセンサスであり、情報処理推進機構（IPA）も各企業にそう要請している。「社会的コンセンサスを作った方がいい」というのはあまりにも独自の論理で、私にはどこの「社会」のことを言っているのか、理解できない。

　さらに??もっとひどいことに、遠藤氏はこんなことさえ言っていた。

　＜今回のトラブル回復でいちばん心を痛めたのは、技術系マスコミの批判に、社員がショックを受けたことだった。公表すべきかどうかを悩んだ挙げ句に、公表するリスクを読めずに出さなかった。まるで強姦被害者が、チャラチャラしていたんじゃないのと言われたような心境だった＞

　なんと、みずからを強姦被害者にたとえたのである。これは暴言以外の何ものでもない。

　強姦被害者や地震の被災者といった無辜の人々と、みずからのセキュリティの低さを突かれて引き起こした不正アクセス事件を同等に捉えるというのは、いったいどういう神経なのだろうか。私の理解の範囲を超えている。

東欧のプログラマ事情

　少し旧聞になるが、VISAやMASTER、Dinersなどのカードの情報が米国のカードシステムズ・ソリューションズから漏洩し、6万8000枚ものカードが不正利用されてしまうという事件があった。日本の利用者のカード情報も少なからずが流出しており、実は私が使っているカードのうちのSuicaビューカードからも「お客様のカード情報が流出してしまいました」と連絡があった。もちろんカードは再発行され、実害はまったく生じなかったのだが、カード番号が変わってしまったことによる不都合はいくつかあった。

　それはともかく、これらの流出カードの多くは、ロシア・東欧圏に流れていることが各国の捜査当局で確認され、メディアでも報道されている。かつてアイデンティティセフト（なりすまし）事件が大流行したころから、カード情報の闇市場といえばロシア・東欧圏が中心だった。東欧あたりに置かれているウェブサーバには、ウェブベースのクレジットカード泥棒市場が存在し、カードの情報が高値でやりとりされている。もちろんこれらのウェブページにはURLなんてものはなく、IPアドレスだけで居場所が確認され、しかもそのIPアドレスは転々と変わるから、泥棒市場の関係者でなければなかなか追跡するのは難しいようだ。

　また昨年末、日本で初めての本格的なフィッシング詐欺が発生し、VISAカードを騙るメールがばらまかれる事件があったが、この時もフィッシングサイトが置かれていたのは、ポーランドのワルシャワ近郊に実在するサーバ上だった。

　それにしても、なぜ東欧なのだろうか。クラッカーの本場といえば、米国じゃないのか？

　実はロシア・東欧には、きわめて優秀なプログラマが非常に多い。これはプログラマの世界では、有名な話である。

　たとえば、IBMが毎年実施している国際大学対抗プログラミング・コンテストというイベントがある。このコンテストの上位には、常にロシア・東欧圏の大学がずらりと並んでいる。今年4月に上海で開かれた第29回コンテストでは、地元の上海交通大学が優勝したが、上位12位は次のようだ。

上海交通大学（中国）
モスクワ州立大学（ロシア）
サンクトペテルスブルグ精密機械光学大学（ロシア）
ウォータールー大学（カナダ）
ヴロツワフ大学（ポーランド）
復旦大学（中国）
スウェーデン王立工科大学（スウェーデン）
ノルウェー工科自然科学大学（ノルウェー）
イジェフスク州立工科大学（ロシア）
ブカレスト工科大学（ルーマニア）
北京大学（中国）
香港大学（香港）

　ロシア・東欧圏が5校も入っている。あとは中国・香港が4校、北欧が2校。北米はカナダの大学が1校だけだし、日本や韓国は入賞していない。

　そしてロシア・東欧圏は、韓国やアイルランド、インドなどと比べれば、IT産業の発展はやはり遅れている。東欧圏でオフショア開発を行っている日本の技術系企業の関係者は、「大学などに行けばスーパープログラマがゴロゴロいるのにもかかわらず、彼らには案外といい就職先はないんです。そうした人材の一部が、結果的にカネ目当てに闇マーケットへと流れ込んでしまってる可能性が高い」と話す。

　逆に言えば、日本にはきわめて優秀なプログラマーや技術者がたくさんいるのにもかかわらず、裏社会と結びついたり、カネ目当てに不正侵入事件を起こすようなケースがあまりないのは、彼らが表社会できちんと遇され、社会的位置も高いということがあるのだろう。