昨年の秋ごろから各種メーリングリスト(ML)や勉強会でご活躍のセキュリティコミュニティの方々と親しくおつきあいさせていただいている。出版物やセミナー、インターネットでの言論活動(もちろん@ITも含め)などでお名前は前から存じ上げている方も多かったのだが、親しくお話しさせていただくようになったのはこの半年くらいだ。
きっかけは、セキュリティ技術者の集まる勉強会に講師として呼ばれたことだが、その後、MLに登録していただいたり、勉強会に聴衆として参加したり、コミュニティの方々のBlog(ブログ:日記)にコメントを付けさせていただくなどの交流が続いている。
このコミュニティにかかわるようになって、ほかのコミュニティとは一風違う特徴的なものを感じたので、今回はそれをご紹介しよう。
リアルワールドでの人的つながり
セキュリティコミュニティの参加者は、ほかのコンピュータ/ネットワーク系のコミュニティと同様にMLやBlogで活発に活動しているが、不思議なほどflame(感情的ないい争い)を見ない(皆無ではないだろうが)。これはどうしたことだろうか?
そもそも、インターネット(掲示板・MLなど)でのflameの原因は、「体験の共有」が少ないからだといわれる。ネットの上では、抽象化された文字表現だけが飛び交う。もちろん画像、音声を流すことも不可能ではないが、少なくともわが国ではまだ一般的ではない。
これに対して、ネット外のface to faceなコミュニケーションでは、抽象的な「言葉の情報(文字化できる情報)」だけではなく、表情や雰囲気、周りの空気といったものも併せて伝達する。
こう考えてみると、メールなどでは、むしろ「当たり前のこと」「お互い知っていること」は書かないのが普通であることに気付く。書いてもどうせ読み飛ばされるだろうし、文書量が多いと、ポイントが分かりにくくなる。しかし、書かなかったことを相手が知らなかった場合、前提が食い違いflameとなる、ということが往々にしてある。逆にいうと、体験を共有している者同士であれば、断片的な文字情報だけのやりとりでも誤解を生むことは少ない。
セキュリティのコミュニティが実に和気あいあいとしているのは、この「体験の共有」が盛んであるからだ。勉強会、飲み会のたぐいはしばしばあり、また、出版・セミナー関係の打ち合わせなども頻繁にあるので顔を合わせる機会が実に多い(逆にいうと、どのような集まりに行ってもメンバーがほぼ重複するというまだ小さいコミュニティといえるのかもしれない)。
こういう集まりに参加させていただくと、ネット上ではややこしい論争をしてようやく納得してもらうような内容であっても、会って身振り・表情をまじえて二言三言いえば簡単に伝わるということを実感させられる。後者の方が微妙なニュアンスもきちんと伝わる。この世には「イチ/ゼロ」の確定情報よりむしろ「いまのところ、だいたいこんなもんだと思う」という不確定情報が多いのだ。ネットが「当たり前の道具」として使われるようになった現在、リアルワールドで「会う」ことの重要性を再認識させていただいた。
萎縮する言論活動
そうはいっても良いことばかりではない。昨年のACCS事件、今年のYahoo! BB事件と立て続けにコミュニティ内(しかもスタッフ級の者)から逮捕者が出てしまった。また、直接セキュリティコミュニティとは関係ないが、Winny事件などで捜査当局において「ほう助」が広く解されているように見受けられる。
このような中で、MLを閉鎖したり、オープンな形態を改めクローズドな組織に移行したりという動きが相次いだ。ペネトレーション技術の紹介や、脆弱性の情報交換などが行われるセキュリティコミュニティはともすれば、「不正アクセス行為のほう助をしている」と疑われかねないからだ。
もちろん、勉強会・セミナーを主催している人たちは、セキュリティ技術を駆使して、不正アクセスから企業を守ることを目的にしている。しかしながら、勉強会・セミナーの参加者の全員が全員、善人であるとは限らない。中にはシステム防御技術として紹介した情報を攻撃手法として使う者も出るかもしれない。こういった恐れから、セキュリティコミュニティの言論活動は、残念ながら萎縮方向にある。
言論の自由ということ
だが、ちょっと待ってほしい。この国では憲法で言論の自由(表現の自由)が保障されているのだ。近代立憲国家において言論の自由は精神的自由権として憲法上最高の価値が与えられている。言論の自由なくして民主主義はあり得ないからだ。
もっとも、最高の価値のある言論の自由といえども、絶対無制約ではない。他者の人権保障のためには一定の制約を受ける。例えば、他人の名誉や人格権などを侵害する言論は許されない。これを公共の福祉による制約という。
注意すべきは、憲法上の権利である言論の自由を制約できる根拠は、他者の人権だけであって、国家の秩序とか会社の利益といったものではない。また、経済的自由権(営業活動の自由など)は、言論の自由に代表される精神的自由権より憲法上の価値は低いとされる。いい換えれば、憲法論としては、国家秩序の維持や企業の営利活動のために言論が封殺されるなどということはあってはならないのだ。
もちろん、こういった憲法論から直ちに「コミュニティにおけるいかなる言論活動も自由だ」と短絡するわけではない。しかし、言論の制約や自粛についての議論をするに当たり、「そもそも言論には憲法上最高の価値が与えられて自由なのだ」というところを出発点にしてほしい。すべての話はそれからだ。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.