セキュアでなくても事故が起きなければいいという武田さんとの会話
- takagiichiro
- 5480
- 0
- 1
- 40
武田圭史 Keiji Takeda 慶應義塾大学環境情報学部教授(災害情報, 航空防災, UAV/ドローン, 映像制作, VR/AR, 生成AI, 情報セキュリティ, 情報技術全般) 東京都在住 連絡先:050-3637-9567
セキュリティーの専門家ではありません。 図書館の専門家ではありません。 政治や経済の専門家ではありません。 法律の専門家ではありません。 細菌や栄養学の専門家ではありません。通信の専門家ではありません。 学歴もありません。
.@keijitakeda それで「いい」のだとしたら、事故か起きるまでは事前のセキュリティー対策は一切しなくても「いい」事になってしまいますね。
2013-10-04 14:30:57@takagiichiro セキュリティ事故は特定のセキュリティ対策の有無だけに起因して発生するというものではないということです。
2013-10-04 14:41:02.@keijitakeda それはわかりますが、それを理由に、「だからセキュアにしなくていい」という結論になるのはわかりません。
2013-10-04 15:18:54@takagiichiro 私は「事故が起こらなければいい」と言っています。重要なのは「セキュアである否か」ではなく「事故が起こるか否か」だと思っています。
2013-10-04 15:32:09,@keijitakeda セキュアでない状態とは事故が起こりうる状況のことでは。なので、セキュアでなくても事故が起こらなければいいというのは、まだ事故が起きていないからセキュアにしなくていいと言っているのと同じになってしまいませんか。
2013-10-04 15:36:47@takagiichiro 現状において Mixi はログインページのデフォルトでSSLを使用しておらずログインにSSLを選択してもそれ以降のセッションではSSLが使用されません。2年ほど前までgoogleやtwitter, facebookなどほとんどが同じ状況でした。
2013-10-04 15:40:28@takagiichiro これらの状況はセキュアではありませんし、同様の事象はネットのサービスやアプリの様々な場所に見られます。それは良くないという考え方もあるでしょうし、事故が起こらなければいいんじゃないかという考え方もあるということです。
2013-10-04 15:42:08@takagiichiro もちろんセキュアにできるに越したことはないですが、リスク見積は一般に保護対象となる資産の重要度と実際の脅威の頻度や想定被害の大きさを加味して評価されますので、最終的な責任を負う前提で事業者の裁量の余地があってもよいのではないかというのが私の考えです。
2013-10-04 15:44:51.@keijitakeda セキュアの程度の問題の話と、セキュアでなくていいと言い切ってしまうのとでは、随分と違う気がします。
2013-10-04 15:50:18.@keijitakeda 事故が起こらない程度の相応なセキュア状態にしてあれば完璧なセキュア状態でなくてもいい、という風に訂正はされないのでしょうか。元の文言では、事故が起こりえて起きそうだが結果的に起きていないだけの無防備な状況放置を容認することになってしまいます。
2013-10-04 16:05:29@takagiichiro 「セキュアな状態」が何を指すかにもよりますが、例えばソフトウェアの脆弱性が存在していても事故が発生しないあるいはし得ないケースというのはたくさんあります。私はそれはかまわないし社会としても許容していると認識しています。
2013-10-04 16:17:52.@keijitakeda 重層的なシステムの一部分で、一定の条件下で利用すれば事故が起こりえるソフトウェア脆弱性があったとしても、システム全体では条件に当てはまらず問題ないと判断する事はよくあると思いますが、元発言は広くセキュアでない状況を容認する発言になっていませんか。
2013-10-04 16:30:02@takagiichiro 広くセキュアでなくても脅威の可能性が少ない場合、他の法的な処置によって抑止が効く場合、脆弱性が単体では実質被害に結びつかない場合などいろいろなケースがあります。セキュアであるかないかよりも事故による被害が発生するかしないかで考えた方がよいと私は思います
2013-10-04 16:37:56.@keijitakeda 事故による被害が発生するかしないかを事前に誰がどう判断するというのでしょう。事業主が営利優先の為にコスト増加を嫌い過小評価を下す事は容易に想像できる中、セキュリティーの専門家が啓蒙の逆であるような容認を訴える事に疑問を感じます。
2013-10-04 16:41:11@takagiichiro 過小評価をした場合に事業者自身がその責任を負うのが良いと思っています。過大評価に基づく対策を強要した場合の過剰コストの責任は誰がとれるでしょうか。専門家としてセキュリティ強化を訴えるのは簡単で自身のメリットも大きいと思いますが違う視点も必要と思います。
2013-10-04 18:13:53.@keijitakeda 強要が違法行為なら別ですが、経営上の責任は事業者が取ればいいと思います。セキュリティーリスクの過小評価は、事業者だけが被害を被るのであれば自己責任で良いですが、広く利用者等へ被害が及ぶ例では、専門家の助言にも社会的な責任が問われて然りかと思います。
2013-10-04 22:38:59@takagiichiro そのような考え方に立った場合リスクの過大評価による過剰コストは高確率で(というかほぼ確実に)発生します。私はそれも含めある種の被害であると考えています。その責任は誰が負うのでしょうか。
2013-10-04 22:49:17.@keijitakeda なにをもって過剰であったかを判断するのか不明ですが、その責任は事業者が負うだけだと思います。経営上の投資判断について特別な契約をしていたら知りませんが、そうでなければ、ただ社会的に適正なセキュリティー要求を行った専門家に責任が及ぶことは無いと思います。
2013-10-04 23:32:36@takagiichiro 過小な場合の責任を問われ過剰な場合の責任は問われないしかも高く要求した方が自身の価値が高まるとすると、セキュリティ専門家はセキュリティ要求を高くするバイアスがかかりますね。
2013-10-05 00:07:59.@keijitakeda コストを掛けたくない経営者側には過小方向バイアスがかかっています。それ相殺されますし、安全側にバイアスがかかるのは、その逆よりはマシなのでは。
2013-10-05 00:17:39@takagiichiro 結果責任が果たされれば市場メカニズムで最適な水準に落ち着くと思いますし、私はその環境を整備することがよいと思っています。
2013-10-05 00:22:46