暗号戦争
第二次世界大戦を発端として、各国がしのぎを削って研究・開発・実用化した、近代暗号の歴史に関する本。暗号が軍事目的で強化され、それが国家機密の保護を目的とした利用から、大企業に広がり、ついにはインターネットの普及と共に個人レベルでも利用されるに至った歴史が綴られている。特に戦争時の暗号利用にまつわるエピソードは、軍記ものを読むようでおもしろい。
- 作者: 吉田一彦
- 出版社/メーカー: 日本経済新聞社
- 発売日: 2002/01
- メディア: 文庫
- クリック: 2回
- この商品を含むブログ (7件) を見る
特に印象に残ったのは、戦争から70年近く経過しているにも関わらず、人の油断が脆弱性を生むという課題は普遍であるということ。
誰しも国家的プライドがあるから「我が国の暗号に限って」という気持ちと無縁ではない。「まさかドイツの暗号が」とか「日本の暗号がそんなに簡単に破られるわけがない」という気持ちが関係者の心に深く根を下ろしたとしても、それは決して不思議なことではない。このような不滅神話が往々にして冷静な判断を圧殺してしまうのである。
「セキュリティ対策して、セキュリティ診断まで受けた。SSLも実装してるし、問題ない」「セキュリティパッチしばらく最新化してないけど、今までも大丈夫だったし、来月まであと半月は大丈夫」とか、一回しっかりセキュリティ対策を実施すると、PDCAの概念は理解しつつ担当者としては「あれだけやったんだし」と思ってしまう恐れがある。
今までセキュリティ脆弱性診断サービスとかリスクアセスメントみたいなものって、ぶっちゃけうさんくせーなーと思うこともあったけど、やっぱり有益だなと思った。
「診断サービスを提供する側」の気持ちとしては、やっぱり「お客さんが気づいてない何か」を見出してお客さんに報告したいって考える。主だった指摘事項や示唆がないと、お客さんからも「お前らほんとにちゃんとチェックしたのか?」って思われるかもしれないし。だからサービス提供側は小姑が窓枠のほこりを見つける勢いで指摘事項を一生懸命見つけようとする。結果として、「ほんとにそんな可能性あんのー???」という指摘が発生するかもしれないけど、それはお客さんにとっても一回ゼロベースでリスクを再チェックするチャンスになるんだと思う。
ミッドウェー海戦前、日本海軍のJN25暗号は既にアメリカによって破られていたらしい。しかし
日本側関係者から、「ここぞと思うところに必ずアメリカの空母が出現した」とか「予想もしないところに、タイミングよく敵が出てきて、戦いになる」といった感想が漏れることになる。
このような不安が出てくるというのはどこかおかしいということであるから、基本的な事柄から考え直して対応策を考えるべきであった。基本的な事柄を問題にするのであれば、当然ながら暗号の安全性も含まれるはずである。それを無視して次の作戦を強行したところに、ミッドウェーの悲劇が待っていたのである。
ということで、結局脆弱性の存在に気づくチャンスを逃したとのこと。兆候は普段の業務の中にあり、「なんかおかしい」と思えるかどうかが勝負。重要なのは、
- そもそも、セキュリティのルールを周知徹底し、違反があれば厳罰に処せられることを示すこと。
- 上長がセキュリティに本気で取り組んでいるところを、日々の行動で示すこと。
- セキュリティのカイゼンにつながる指摘や行動を、社内できちんと評価すること。
なんじゃないかなあと思った。毎年、かたちだけセキュリティ研修とかいって社員に受けさせるのって、はっきりいって意味薄い。工数がもったいない気がする。
とりあえず、戦争の時に日本が情報戦でもボコボコにされていたのはよくわかった。でも、じゃあそれって平成の日本はそうでもないのかというと、全く自信が持てず、すごくすごくさむい気持ちになりましたー ハ ハハ・・
