IPA:組織の重要情報の窃取を目的としたサイバー攻撃に関する注意喚起
IPAのサイトで,下記の注意喚起が出ている。
組織の重要情報の窃取を目的としたサイバー攻撃に関する注意喚起
~組織システムのリスク把握と、日頃からのセキュリティチェックと対策の徹底を~
IPA: 2011年9月20日
http://www.ipa.go.jp/about/press/20110920.html
「情報」については「窃取」はないので,「不正入手」または「無権限入手」の誤りまたは誤記だろうと思う。
なお,ここに書かれていることそれ自体は基本的には正しいのだが,これが防止策になっているとは言えないことは既に何度も述べてきたことなので繰り返さない。
人事を刷新し,事実を直視し,古臭いスキームにこだわらないで率直にものごとを考え提案できる組織にしないと,日本国の情報セキュリティを守ることはできないと考える。とりわけ,組織それ自体または組織の構成員が「悪」である場合や,組織のトップ等が「悪」である場合における抵抗権や正当防衛等について真剣に考えないと,どうにもならない。
具体的には,例えば,IPAは,これまでSSLやHTTPS等の利用を推奨してきたが,SSLやHTTPSそれ自体に技術的な脆弱性がある場合,あるいは,それらを認証するCAがハックされている場合のように,誰も信じられない状況に対する対応が全くできていない。
「自分以外は一人残らず全員敵」という状況を想定しない情報セキュリティはあり得ない。
「情報セキュリティ」の世界は,本質的に,ホッブズのいう「万人の万人に対する闘い」を当然の前提とする世界なので,そのことを踏まえていないやり方は無意味だと言える。
| 固定リンク
コメント