今そこにあったりなかったりする危機

さくらんぼ小学校ネタが一部世間を賑やかしているようですね。事の詳細は様々なところで書かれていると思うのでここでは触れないけど。
この話って僕の所属する企業のような会社がやってるビジネスとも特にあんまり直接関連性はないのに、こうした内容でもどこかから解説を求められたりすることがちょいちょいある。で、ここはあくまで私個人のブログなんで、この件について個人的に思ったことを書いてみようと思う。
って、いつも個人としての話しか書いてないけどｗ

特に子供の頃、若い頃って、けっこう多くの人が『言葉遊び』好きです（した）よね。
僕も身に覚えがあるネタだし、これは例を挙げるまでもない話だとは思うけど、替え歌とかもそう。しりとりみたいに、歌詞の最後の文字で始まる別の言葉を付け加えたり。それとか小学校くらいの頃「マリちゃん」って子が『あたしオダって人とは結婚しない！』とか言ってたり。
・・・なんか書いてて懐かしい気持ちになってきたｗ
自分に子供が生まれて、いざ我が子に名前を付けようって時、その名前の語呂とかでこういった言葉遊びからイジメに発展したりすることもあるから、苗字と合わせた場合を含めて、すごく気を配ってあれこれ考えて決める人もけっこう多いんじゃないかな。

また、ちょっと違うベクトルの話かもしれないけど、企業や団体が製品名やブランド名などを考えるときって、こうした言葉遊びはもちろん、既存の名前ではないかとか、他者の権利を侵害していないかとか、充分に調査してネーミングを行いますよね。当然といえば至極当然な話だけど。
知財ビジネス、ドメイン名なんかもそうだけど、特定の名称やそれに関連する名称等を含めた【無体財産】の類を『これは後々になってニーズが生まれるに違いない』と踏んで、先んじて押さえておくっていう類の商売ってずっと昔から普通に存在するよね。

で、今回の話。

例のサイトって、問題になってる公立校のネーミングより前からあったんだよね？てことは、この話は版権ビジネスとか権利侵害とかの類とは全然関係ない話だろうと思われる。さくらんぼって名称が相応しいか相応しくないかは議論が分かれるところだと思うけど、実際にこういった名称の学校が今後実際に誕生するかも・・・って事自体はあんまり予想できなくないかな？
個人的には想定の範囲外じゃないかなって思うし、そのサイトがこのネーミングを使った事自体には悪意はなかったんじゃないかな、って思う。

特に最近はインターネットの普及によって、個人でも小さいコミュニティでも、誰もが世界中に情報を発信したり、何かを作って多くの人に見てもらったり、比較的カンタンにできるようになった。個人が容易に得られる情報量とその範囲も、昔とは比較にならないほど増えてる。
だから、こういった無体財産、特に名称は【不特定の一般大衆が容易に知り得る他の何かとカブる可能性】っていうリスクが昔とは比較にならないくらい高くなってる。そしてそれだけ誰かに【揚げ足を取られる可能性】も高くなってるって事が言えるわけですよ。

そこら辺を考えると、時間軸的に後からネーミングをした側が、他の何かと名前がカブったっていう事も起こりやすいし、それを誰かに突っ込まれる確率や頻度もものすごく高くなっているわけで、正直その辺の認識はちょっと甘かったんじゃないかなぁって個人的には思う次第です。
ただこうなってしまった以上、特に実際のものが【似ていると色々とマズい要素を多く含む】今回のような事例の場合、なんでそうなったっていう犯人探し的な話よりも、事後の可及的速やかな状況改善・修復作業の方が現状はずっと重要なわけで、お互い話し合ってどちらかが名称を変更するなり、現状の問題点を解消する事が先決だよね。

結果論としてどちらが名称変更しても、もしくは双方共に名称変更しても、両者が協議の上で決まったことであって、それで今問題視されている状況が解消できるのなら別にいいと思う。ただ、個人的には【正当な理由がなくとも個人や小さい団体は大きな組織に譲歩すべき】という考え方は好きじゃない。それに、今回の件は【アダルトサイトの存在が正当か否か】っていう話とは、論点が全く別の話だと思う。僕個人としては別にこうしたサイトの存在自体は肯定も否定もしないけど、こうしたお題目である種の強制力をもって事を運ぼうとするのは、いくらなんでもあまりに正当性を欠くとも思う。

今回トラブルに巻き込まれるのは、実際にそこに通うことになる子供たち。その子供たちにとっては「人々の話題になること」そのもの自体が既に大きな被害でしょ、普通に考えて。だから正当性の主張とか【大人の都合】なんてもう後回しにして、もちろん両者の協議の上で、とりあえずどちらかが名称変更するなり【事態の迅速な沈静化】を最優先にして欲しいなぁ、とか思ったり。
実際どうなのかは見えないけど、今は違うかもしれないけど、問題が表面化した頃はなんかお互いが直接協議しているようには感じられなかったんだよねぇ。可及的速やかな直接の話し合いは絶対的に必要じゃないかと思うんだけどね、個人的には。
だって、お互いが協議しないで各々独断で名称変更して、万が一にもその変えた名称がまたカブった、なんてなったらもう最悪じゃない？

ずいぶんと時間が経ってしまったが、たまには書いてみようかと思ったので。
まぁこれだけ放っておいたんだし、もう誰も見てないだろうと気楽に思うまま書いてみる。

お盆を過ぎ、少しは良くなるかと期待していた地球さんのご機嫌も一向に直る気配がないっぽい。
異常なのは関東だけかと思えばそうではないようで、それどころか世界中が絶賛異常気象展開中らしい。
ロシアとかの美女とか、ドイツの中年オヤジなんかが街中や公園で水着姿でインタビューされている映像も何度か見かけたりして。
個人的には後者は食事時にはあまり見たくないが、前者はシリーズ化して欲しいとかちょっと思ったり。

冗談？はさておき。
最近はいろんなメディアやらがこの猛暑の原因についてあれやこれやと騒ぎ立てている。
偏西風の異常だとか水循環の悪化だとか、まぁずいぶんいろいろあるみたい。
僕は気象学者でもないし気象予報士でもないので「ふーん、そうなんだ」と素直に聞いている。
まぁ、どれが正しいっていうより、同時にいろんな原因が重なってるんだろうな、と。
いわゆる理論的な原因はまぁ、いろいろあるんでしょう。

ただ、思うところがないではないわけで。
こういうのってさ。なんだかんだ後から言う事は簡単っていうか、それって結果論じゃないかと思うわけですよ。
なんかありがちな「成功の秘訣」本みたいな感じとでも言いましょうか。
実際にその時、リアルタイムに問題に直面している瞬間って、先の結果なんか分からないわけですよ。
人生は常に、その時その時で実際に何を思ってどう行動するかっていう「選択」を強いられる、と。
その選択をする基準って「今にしてみれば結果としてその後にこう繋がった」みたいな話じゃないよね。

今起こっていることとその原因となった「過去」をみんなに分かりやすく解説することはとても有益な事だと思う。
もしそれが良くない事ならなおさら、同じ過ちを繰り返さないためにも知っておくことは大事なことだ。
その能力が高い人は尊敬に値するとも思う。
でもそれだけじゃ片手落ちっていうか、原因分析って何のためにやるのさっていうか。
「この先の全く新しいリスクには繋げないの？」って、なんかモヤモヤする。

ITの話で言うと、既知の問題ってヤツに当たる内容だけじゃなくて、未知の問題にどう取り組むかって感じかな。
「ゼロデイアタックは防げなくて当たり前、だってみんな知らなかったんだもん（はぁと）」なんて言われたらどうよ？
今の状況からすると、可能性として今後こういう事があるかもしれないっていう想定も大事じゃないか。
そして、その「起こるかもしれない問題」をどうやって防ぐか。「転ばぬ先の杖」とか、そういった話。
これも大事だし、別にITじゃなくても当たり前に必要だよなぁと思うわけで。

「このままだと◯年後に石油が枯渇する」みたいな話はずいぶん前からあったよね。
これ、なんか昔に聞いた情報だと、もうとっくに枯れ果ててないといけない話だったような気がする。
ふと思い出したけど、IPv4の枯渇問題も・・・なんかこのネタと似たような流れに思えたり(;^_^A
状況は常に変化してるし、アップデートしないと数値なんてすぐリアルからかけ離れるのは当たり前。
だからって「オオカミ少年」みたいに扱うってのは、それはそれでまた違う。
今こんなことしてると、近い将来こうなるよ、っていう類の話は、警告って意味ですごく大事。
もちろん、煽り過ぎなきゃ、だけど。

なんか何書いてるか分からなくなってきたε=(￣｡￣;)

なんていうか、早く地球さんのご機嫌が直って欲しいなっていうのと、これから先また地球さんのご機嫌を損ねないように、地球さんのイヤがる事とかイラッとするツボとか、みんなで知っといた方がいいよね？って思っただけ。
ほら、相手の機嫌を損ねた時の事を想像してみてくださいな。
その事だけをピンポイントに謝っただけであっという間に元通り、って訳にはいかないじゃないですか。普通は。

ここしばらく、ぜん息の発作が出たり、親族が入院＆手術したりと、病院がらみでバタバタしていた。普段あまり病院に行くことのない病院嫌いの私にとっては、久しぶりの長期通院となった。
そこで医師の方や看護師の方々と、渋々ながら色々とお話をしなければいけなくなったのだけれど、嫌だなぁと思う反面、専門的な言葉をなるべく使わないように、どうしても必要があって専門用語を使う場合でも必ず「どういう意味か」という解説を細かく付け加えながら、相手が理解しているかどうか確かめながら丁寧に話してくれる姿がとても印象的だった。

私も職業柄、一般の方々に対し色々と説明をする必要がある場面が多い。自分なりに、できるだけ相手が分かりやすいようにと心がけているつもりではいたのだけれど、まだまだ相手への思慮が足りなかったんだな、ということを痛感させられた。

相手に何かを「伝える」ということは、相手に理解をしてもらうための行為であって、その行為の主人公は当たり前だけど「相手」だぞ、と。ところがどっこい、この業界を含めて専門的な職種、また講師・教師といった職種ではなんだか専門用語を使うことがかっこいい、とか専門用語を使うことがステイタスの高さ、みたいなところがあるように思う。
芸能界なんかもそう感じるが、内輪でしか通じないような言い回しをあえて使うことが、ある種の優越感のように感じているのかもしれない。
内輪での日常会話ならそれも別に目くじらたてて糾弾するような話でもない。けれど、業界の人間がたとえばセミナーとか、業界の外の人間がいる状況下でも専門用語をバシバシ使ってしゃべっているのを見ると、それってどうなの？と思ってしまう。

相手に何かを正しく伝えることは、相手のためだけではなく、結局は自分のためでもあると思う。逆に言えば、きちんと伝えられなかったせいで相手がミスやトラブルを起こしても、それは結局自分自身の責任と言っていい。
病気だけでなく、改めてこうした自分の姿勢、メンタルな部分を見直すきっかけも与えてくれた医師や看護師の方々には、とても感謝している。

まぁ、だからといって病院は好きになれないんだけど。

「GumblarってGENOウイルスのこと？」的な質問を最近よくされる。
8080系マルウェアとかGENOウィルスとか呼ばれていた、最近またGumblarとか呼ばれ話題になっている類のマルウェア。その実態とか脅威とかについては既に色々なところで語られているし、今更ここで書くこともないと思う。もちろんGENOウィルスと呼ばれていたものと現在Gumblarと呼ばれているものとでは色々と（恐らくは仕掛けた相手も？）変わっているし、亜種もあるし、当時の対処法がそのまま全てあてはまるというわけでは決してない。
なぜ今これを書いているかというと、先日とある知人から個人的に「GENOウイルス」被害について相談されたのだが、その事例が個人的に興味深かったのだ。

本事例の概要
・とある小規模ECサイトがGENOウイルスによって改ざんされた
・依頼主である会社は、とある小さなWeb制作会社に制作／管理／運営全てを委託している
・従って依頼主の誰ひとりとしてFTP権限は持っていない
・ECサイト上の顧客リストも、制作会社にCSV形式なりで出してもらう（有償）以外に閲覧方法はない
・サイト改ざんにより営業活動に支障をきたした依頼主は、早急に復旧させるよう要求

契約内容云々の件はともかく、ここまでは話の筋は分かる。だがここから徐々におかしくなる。

・制作会社は「ウイルスが原因だからお前らのPCからウイルスを駆除しろ」と連絡
・依頼主は社内PCのウイルス駆除を実施、ECサイト停止期間の損害賠償をちらつかせ復旧を再度要求
・制作会社は逆に「サイトが使えなかった時期」の利用料を支払うよう依頼主に要求、民事裁判を起こす
・裁判にて制作会社は「サイト改ざんはウイルスが原因であり自分たちに責任はない」と請求の正当性を主張
・依頼主は「ウイルス感染の証拠はない」と反論
・制作会社は改ざんされたサイトのソース（をプリントしたもの）を証拠として提示（データ自体はないとのこと）
・依頼主が私に「ソースがウイルスではないと証明したい」と相談しにきた ＜いまココ

えーと。
どこから突っ込めばよろしいのでしょうか？

ご存じのように、このマルウェアはサーバを直接叩いてサイトを改ざんするのではなく、ユーザのパソコンに存在するFTPの権限を利用してサーバに侵入しサイトを改ざんするタイプのものだ。今回の事例では、依頼主の側のパソコンにはFTP権限は存在しない。よって感染したのは制作会社および関係者のいずれかのパソコンである可能性が非常に高い。一般論で考えれば制作会社側はこうしたミスを謝罪し菓子折りのひとつでも持っていくとか何らかの対応を取るか、場合によっては恥ずかしいので先方に気付かれないうちに修正し知らん顔をするかもしれないなぁ、と思う。
またhtmlをプリントアウトしたものをざっと見る限りは当時話題だった典型的なパターンのようだが、そもそもプリントアウトしたソースなど何の証拠能力も持たない。まぁ、なんで元データがないのとか他にも突っ込みどころはあるのだが、ていうかそもそもなんで争点が「ウイルスの有無」になっているのかがよく分からない。ウイルスの存在は前提として、感染の原因とサーバ管理責任の所在が争点だろうと思うのだが、なぜ司法の場で「ウイルスのせいだ」、「いやそうじゃない」といった言い争いになるのか。

今回の事例では、依頼主・制作会社・裁判所の三者間で「本来こうした業務の管理責任がどこにあって、こうしたことが起こる原因は何なのか」という基本的な部分での認識がそれぞれバラバラ、ていうか誰も正解を知らないせいで、論争が明後日の方向へ進んでいっているように思う。これではいくら話しあったところで正しい結論など出るはずもない。
リテラシ云々とはよく言われるが、本来とはぜんぜん違う意味でGumblarとかGENOウイルスとかの脅威（？）を目の当たりにした、そんなお話である。

さて、これが最初に書くネタになるが、あまり技術論を書くような場所でもないように思うし、これを見てくれる方がどういうものを望んでいらっしゃるかも分からない。よく分からないので、あれこれあまり考えないことにした。
今日は「情報セキュリティの日」だそうだ。どちらかというと去年の方が話題になっていたような感じもするが、今年もそれなりに話題にはなっているようである。私にとって今日は「社長の誕生日」でもあるが、いわゆる「情報セキュリティ」というもの自体を漠然と考えるきっかけを与えてくれる日でもある。

ちなみに、みなさんは「2000年問題」を覚えているだろうか。
グレゴリオ暦で2000年になると、コンピュータが1900年と2000年の区別がつかなくなり、様々な誤作動を引き起こす可能性がある、という問題が、当時は世界中で社会現象とも言えるほどの話題となっていた。
また、政府関連のサイトが改竄され、政府のIT立国宣言についてセキュリティの確保が最大の課題としてを挙げられたり、不正アクセスの禁止をはじめとした法制度の整備が始まったりと、この年は「セキュリティ元年」と位置付けられる。

あれから10年。
先日この手の話題を話していた時、ある人が「取りあえず、みんな「鍵」はかけるようになったよね」的なことを言っていた。当時、ネットワーク内に「鍵」をかける習慣どころか鍵そのものがほとんどなかった頃から考えれば、状況はずいぶんと変わったように思う。ネットワークそのものも多様化・複雑化しているが、それぞれに対応した鍵が作られているばかりでなく、それら鍵の種類も豊富になった。今や単純なセキュリティツールから多層防御と言われるような複雑で堅牢なものまで、様々な「鍵」が用意されている。加えて法整備も徐々に進みつつあり、また今日「情報セキュリティの日」のように社会に広く意識付けするような動きも公に実施されるようになってきた。

しかし、それらの「鍵」がきちんと的確に設置されているかといえば、残念ながらそうとは言い切れないように個人的には感じる。
この話を「家」で例えるなら、セキュリティホールにあたるであろう外部に繋がる「穴」は多数存在する。玄関や勝手口、ベランダへ通じる大きな窓などから、排水口や換気口など小さい穴もたくさんある。また鍵の種類も色々で、カードキーや生体認証、ディンプルキーなどから、ターンキーやシャッター、かん抜き、そして単なるフタのように単純なものもある。
まさか玄関にただドアを付けただけで他の鍵をかけない、という人は特別な事情でもない限りまずいないだろう。逆に、排水口や換気口のような場所にわざわざ生体認証キーやカードキーを設置する人もあまりいないと思う。穴の大きさや役割はどうなのか、言い換えれば侵入者として想定されるのが人間なのか、それとも虫などの類なのか、そして鍵の必要性と日常の利便性のバランスはどうか、といったような判断は「家」で考えれば比較的自然と頭に浮かぶのではないだろうか。

これと同じことがネットワークセキュリティにも言える。言えるのだが、これがあまりピンと来ない人は多いのではないだろうか。だがこうした「どこに何が必要なのか」といった点を踏まえずに、例えば全てに一律な「鍵」をかけるような対策を実施したとすると、その場所によってセキュリティレベルの過不足が生じる可能性が否定できない。またあまりに過剰なセキュリティレベルを均一にかけてしまうと本来ITが担うべき利便性が大きく損なわれ、業務効率が低下する可能性もある。例えて言うなら玄関も勝手口も全ての窓も部屋のドアも風呂場もトイレも全部を同じ１つの鍵で開け閉めする家や、トイレの排水口にまで暗証番号＋生体認証キーを設置するような鍵のかけ方をした家は、あまり住みやすい家とは言えないだろうという話だ。

内部・外部を問わず、悪意のある者が欲するのは基本的に「カネになる情報やツール」だろう。従ってターゲットとなり得る「優先的に守るべきモノ」とそのそれぞれの価値、そしてその所在といった部分については各組織にとって比較的切り分けしやすいように思う。この先の10年は、そうした各組織内の状況を踏まえた「過不足のない適切なセキュリティ」が普及していく時期なのかな、ということを考えた。
今後も技術革新は進み、攻撃手法もそれにあわせて多種多様に進化し、また思わぬ落とし穴もどんどん生まれていくだろう。当然それぞれのリスクに応じた「鍵」の進化は常になされ続けなくてはならない。そしてそれだけでなく、あらゆるネットワークが「息苦しさのない安全性」を確保し、誰もがいつも安心して気軽に利用できるようになる、そういう方向に進んでいけるよう、我々は力を尽くさなきゃいけないな、と改めて思った。

私はこれまで、あまり自分から前面に立って公の場で活動することを避けていた。
周囲には優秀なスピーカーがいくらでもおり、自分のような者がそういうことをする必要性を感じなかった、というのもある。
そもそも性格的に目立つのは好きじゃない、というのもある。
しかし最近、日頃から何かを経験したり、それを人に伝えたり、そんな活動の中で
「これって関係する人はみんな知っておいた方がいいんじゃないかな？」
といったような事を感じる機会がだんだん増えてきた。

そんな折に、ITmedia様からこうした機会と場所をいただいた。
これまではこういった類のお話は丁重にお断りしてきたのだが、今回は思い切って受けることにした。
タイトルにあるようにセキュリティに関連する事を中心に、しかしそれのみに限定せず業務の内外で感じた事や思うところなど、これから不定期で書いていきたいと思う。
他の方のように「魅せる」文章というものはあまり得意ではないし、主に自分に対する備忘録として書いていこうと思っているが、読者の方々にも役立つことが少しでもあれば幸いである。