ZIPファイルで感染を広げるウイルス,パスワードは画像にして対策ソフトを回避:ITpro http://itpro.nikkeibp.co.jp/article/NEWS/20060621/241422/
パスワードが画像に…というところは実はあまり本筋とは関係なくて、パスワードによって暗号化されたファイルはアンチウィルスの検査対象にするのが難しいから、いっそそういうファイル(ウィルス検査に失敗したファイル)は全部通せないようにしてしまえ、という話。
おっとっと、ファイルの暗号化はInternetを経由して出来るだけ安全にファイルをやりとりする手段じゃなかったのかい?ということになるのですが、上記のような意見の極北は、こちらのBlogで展開されているような
そんなファイルはメールで送るな
という論。情報保護のための暗号化ソフトが世に多く出回る中、まさに
日○ソフトと真っ向勝負
といった感があります(w。もちろんこれはリスクマネジメントの立派な一手法(リスク回避)ですが、私にはいくらなんでも安全側に倒しすぎな論に見えますね。もちろんある組織がリスク評価の結果自主的に選ぶことにケチを付ける気はありませんが、情報資産の重要度を勘案せず一律にこんなことをしていたら、これから電子メールは
ヤギさんに運んでもらう
しかなくなります。実はヤギさんにも「手紙を食われる」というリスクがあったりする…という話はさておき、ヤギじゃないにせよ郵便局の配達証明・内容証明などを使用するという「リスク移転」も管理策の一つです。金、かかりますけどね。
結局、利便性と安全性は対立することの多い概念であり、組織はリスクの海の中をきわどいヤジロベエに乗って進んでいかなければいけません。セキュリティと言えば機密性(Confidentiality)の重視、という風潮が、特に日本ではパラノイア的に増えてきていますが、機密性に完全性(Integrity)・可用性(Availability)があって初めていっぱしの「セキュリティ」が名乗れることを忘れてはいけないでしょう。いくら機密性を重視するとしても、ネットワークセキュリティに悩む企業の方に
ネットワークの線を切りましょう。不便ですが、絶対安全です。
等とは口が裂けても言えません。そんなコンサルタントが居たら空中元彌チョップものです。人にセキュリティを語るなら、相手の利便性をギリギリまで守りながら、安全であるための絶妙なバランスが提示できること、安易に安全側に倒すのは「負け」であり「逃げ」であること、そう自戒しつつ日々「ヤジロベエ」を模索しています(まだまだ遠いなぁ)。
