セキュリティに携わっていて思うこと、俺たちの正義っていったい何だろう・・・・。時には人に嫌われ、でもそうした正義感が心のどこかにあるからやってられるのだと・・・。
これから書くことは、あくまで架空の話だ。まして、最近、一部のメディアに書かれたことに何か関係があるわけではなく、全く違う別の話(同種の別件)だということを断っておく。しかし、過去にどこかであったかもしれないし、今、現実にあるかもしれない、そして将来も起きるかもしれない、だから書くのだ。
たとえば、ある製品のマニュアルに、この通信は「セキュア」な通信方式をとっています。と記載されていたとしよう。また、サポートサイトのナレッジベースに、「この通信はSSLを使用しています」と書かれていたとしよう。誰が、そう書かれた通信が平文で流れると考えるだろうか。だが、そんな通信が、もし平文で流れていたとしたら、誰が見ても、それはバグだろうし、「セキュリティホール」だと思うに違いない。暗号化されていると信じて、その通信をインターネット経由で流したとしたら・・・・と考えると、うすら寒いものがある。
たとえば、こんな話もあるかもしれない。これは同じベンダではないかもしれないが、ネットワーク経由で実行可能なある特殊な条件で製品がCPUを100%消費するという情報を得たユーザが、ベンダに通報した時に、「それは仕様なので、そんなデータは与えないでください」という回答をもらったとしたら。
もし、自分がベンダの立場なら、そんな事実を指摘されたら、ただちに事実確認の上、対応策をとって、該当するすべてのユーザにしかるべき連絡をし、必要があれば公表するだろう。当然、その責任の所在は明確だ。間違っても、あたかもそれが仕様であるがごとくの言い方をするようなことはしない(できない)。それは、少なくとも私の「正義」ではないし、おそらく多くの人が考える「正義」でもないだろうと思う。まして、そういう問題を解消するための対策を提供するセキュリティ製品ベンダにとって、踏み外してはいけない一線だと思う。
もし、ユーザからそういう指摘を受けたベンダがあり、報告を求められて出してきた報告書に、責任の所在についての言及が一切無く、詫びもなく、単に事実を淡々と述べただけのものであったならば、皆さんはどう思うだろうか。さすがに、仕様という言葉こそなくても、言外に、それがプンプン臭う。指摘されながら、このベンダはその事実を公表することもしていないとしたら・・・。しかも、その問題は最新バージョンでは解消されているとしたら・・・。隠していたとは思いたくはないが、そう思われても仕方がないだろう。
最近、他の業界ではこうした問題隠蔽が発覚して、命運尽きた会社も少なくない。仮に、我々の業界にそんな会社があったとしたら、間違いなく命運尽きるだろう、いや尽きて欲しいと心から思うのだ。そんな会社が現実に存在しないことを心から祈る次第である。
コメントする