情報セキュリティ発〜コミュニティ経由 〜 情報セキュリティ行き?
公開日: 2007年11月28日
宮本 久仁男 (wakatono) 氏著
ども、宮本と申します。セキュリティニュースレターにこういう形で寄稿させていただくのは初めてですね。
最近あれこれサボっている気がしないでもないですが、Microsoft MVP (Windows - Security、 2004/10 〜 2008/9)、セキュリティキャンプ
講師 (2004 〜 2007)、Slashdot Japan の編集者、あれこれ寄稿、大学生、そして会社員という感じで、あらゆる顔を持っています。ちなみに興味がある技術分野は、オペレーティング システムとネットワークだったりします。
なお、各種コミュニティにおいては、(本名はともかくとして)"wakatono"というニックネームのほうが通りがよかったりします。もうこのニックネームも相当付き合いが長く、あらゆる場所において、すでに第二の本名として定着しちゃったような気もしますが… (wakatonoさん、と呼ばれることも多いですが、ブロークンな会話とかになると、アタマ2文字を省略して「との」と呼ばれることも多いです (笑))。
まじめなこともいろいろ考えていたりするのですが、まじめなことはすでに、結構書かれていたりします。
なので、多少ひねった (?) アプローチから、「セキュリティ」というお題でつらつらと書いてみることにしましょう。口調が先生っぽいところがあるのはご愛嬌です (笑)。
日々思うこと (1) 〜 常識と道徳、そしてちょっとだけセキュリティを考えた行動を
情報セキュリティなんぞというものを日々考えた生活を送っていると、「他者のちょっとした仕草」が気になってきます。
例えば、(自分以外の人が) 日々何の気なしに交わしてる会話にもそういうネタはあらわれてきます。
実社会において、そして実生活において、よく交わされる内容でしょう。
しかし、これらの話は「外部の人に聞かれる」と、それだけで情報漏えいと言われかねません。特に昨今、「情報漏えい」事件が毎日のように発生している状況ですから、外部の人にちょっとした内情を知られるだけでも「漏えい」扱いされかねません (いや、実際に (微々たるものとはいえ) 漏洩なのですが)。
あと、「自分だけが知っているネタ」を「知っている」ということをにおわせる、というのは、正直感心できません。なぜ「自分だけが知りえるのか」というところに考えを馳せて、出すべきものは出すし、そうでないものは「知っていること」すらも匂わせないようにしてください。
日々思うこと (2) 〜 相手のことを思いやった考えを
これは、自分の身の回りだけのことではありません。何らかのセキュリティ侵害が身の回りで起こった時に、「なんでそれが起こったのか」、「誰がそれをやるのか」ということを考えるのも、「相手のことを思いやる」という姿勢が有効に働きます。
また、因果関係を整理するのも大事です。ちょうど「ネット上での嫌がらせ」に対する相談に乗っていたのですが、まずは現状把握のために「起こっていること」「自分が取得できた情報」を確認して、「そこから何がわかるのか」というのを洗い出してみます。これは、取得できた情報に関連した付加情報を見つけ出したり、「誰がそれをしそうか」という人間関係の整理をしたりというところを行っていました。
これは、技術だけを追いかけても出来るものではなく、人間関係だけを追いかけても出来るものではありません。技術を持った人が「相手はなんだろう」という人間くさい思考を積み重ねて、はじめて成立する内容です。
技術を蓄積したり、検索したりするのはデータベースや検索エンジンでも出来ますが、その技術を融合させ、関連付けて、さらにリアルワールドとの相関をつき合わせて論証を重ねるのは、最終的には人間が行わなければなりません。
情報セキュリティだけじゃなくって、物理セキュリティもね
私自身、別に軍事マニアでも警備員でもなんでもないですが、物理セキュリティの話は興味ありますし、情報セキュリティを考える上で、物理セキュリティに学ぶところが多いというのも事実です。
また、情報セキュリティは、守るべきものに実体があるようでありませんし、守るべきものを守るためのしくみも、(ハードウェアはあっても) 本質的には情報に分類されます。
極論を言ってしまうと「よくわからんものを守るためによくわからんものを使う」となってしまうわけです。考え方を整理するためにも、物理セキュリティについても考えて、情報セキュリティに活かす、ということはやってみた方がよいでしょう。
暗黙知の集合と伝承媒体としてのコミュニティ 〜 だから面白い
後述しますが、コミュニティの本質は「相互扶助」ともいえます。
そして、そのようなアクションが繰り返される中で、運営やそのコミュニティがよりどころにしている分野についての知識が、形式知/暗黙知として蓄積されることも多いです。また、Know-how というコトバがありますが、似たようなコトバに Know-who というものがあります。これは「○○については誰が知っている」というメタ情報をあらわすためのコトバですが、コミュニティが面白いのは、そこにいる人の「暗黙知」がオモテに出てくる可能性が高くなる、ということでしょう。また、コミュニティおよびその周辺にいらっしゃる方々については Know-who データベースが (これまた) 暗黙知の共有という形で実現してくるであろうことも、楽しいですね。
暗黙知の共有と関連付けは、例えば以下のようなことです。
A 「○○って X さんが詳しいよね」
B 「あ、それについては Y さんも詳しい」
C 「U さんは、それとの連携技術や電文フォーマットについてはものすごく詳しい」
これをわざわざしゃちほこばったドキュメントに起こして、形式知化して共有などということは、(そうそう) 行われません。その場で「揮発性の高い」コミュニケーションとして成立した後は、必要がある人のアタマに残るでしょう。
暗黙知の集合体がコミュニティであるとするならば、ある意味びっくり箱といえます。
セキュリティ「コミュニティ」
ここ数年、トレセンよろしく各地で「セキュリティコミュニティ」が活性化していたりします。
ぱっと思いつく範囲でも、まっちゃ 139、セキュそば、セキュリティもみじ、セキュリティとんこつ - ばりかた勉強会という具合に、各地で有志によるコミュニティが発足・活動という感じになっています。
情報セキュリティという分野、そして情報セキュリティを取り巻く技術動向に耳目があつまって、
| • | 自主的にそれを知りたい |
| • | そして、得たものを共有したい |
という 2 つのモチベーションがまずあって、セキュリティ (に限りませんが) コミュニティ自体が発足するものだと思っていますが、それを具現化するにあたっては、各地ともに特色があるなぁ、というのが正直な感想です (ざっと見る限り、そう見えます。残念ながら、すべてに行ったわけではありませんが…)。
地域コミュニティは、地域の特色が出やすいコミュニティでもあります。
参加する人は、その地域の人か、その地域にゆかりがある人が多いということもあります。
ただ、ある特定の地域にコミュニティがたくさん出来ても、後から来る人が「どれに参加すりゃいいんじゃ」迷います。
似たようなコミュニティがある場合は、そこと連絡を取り合ったり、協力関係を築くことも忘れないでくださいね。
コミュニティに参加すること & 発言すること 〜 まずはクチを出し、手を動かそう
オンラインでもオフラインでもそうですが、「参加した」、「話聞いた」、「帰った」だと、正直面白さは半分以下、というのが持論です。
なんでもそうなんですが、「参加する」以上は、自分自身が「他愛もないこと」と思ったことでも臆せず発言してみてください。以前、関西オープンソース 2004 というイベントに参加した時に、私自身が言った「"何がどう分からない"という普通の情報でも、"こうやったけど分からない"という点を書けば、それはしっかりとした情報であり、貢献になる」(「大阪でもやりまっせ」関西オープンソース 2004 開催 (2/2) より) というのは、コミュニティを支えるのは、参加しているすべての層であり、発言であり、行動である、ということの一端です。また、「コミュニティは相互扶助」というのは良い表現です。端的に言うとそうなりますが、わからない場合は「結果としてみんなが参加して、それぞれ role をもっているのがベスト」と考えるといいかもしれません。
「コミュニティに参加している」という気負いはちょっと…という人もいると思いますが、そういう人は、まずは「自己紹介以外の一言」を言ってみてください。きっと (良い意味で) 食いつく人はいると思います。
コミュニティに対して自分が出来る貢献もさまざまであれば、コミュニティから受けられる (かもしれない) フィードバックもさまざまです。「こうあるべし」という貢献も、「こうなる」というフィードバックも、確約されたものはありません。だからこそ面白いといえます。
はじめることはできても、継続することが難しく、たたむことはさらに難しい? 〜 気楽に気楽に、でも締めるところは締めて
コミュニティを運営する!という話を考えたとして、そんなに大層なものが必要でしょうか?
ぶっちゃけ、コミュニティは、やりたいことを同じくする (もしくは似通っている) 人が二人以上集まれば、出来ちゃうと信じています。
場所?どこぞの公民館?いや、別に地元の喫茶店で二人して(例えば)セキュリティ技術についての情報や知見を持ち寄って、意見交換したっていいわけです。
どこかにプロジェクタ持ち込んで、資料うつして〜というのも(出来れば)いいですが、それだけが勉強会の形ではありません。
机の上にノート広げてもいいですし、事前に自分が用意した資料を配って、というのもありです。
モノがないならないなりに工夫するのも面白いですし、場所がないならないなりに工夫するのもまた一興です。
一見逆境と思えることすらも楽しむくらいの気楽さがあれば、やれるし続けられると信じています。
ただ、やるときは全力でやりきるように、締めるところは締めてください。運営しかり、計画しかり、です。ただ、出来ないことまでやれという気はありません。出来る範囲でこつこつと、が基本ですよ。
また、どうしても状況が許さないとか、類似のコミュニティが近場で増えたりとか、となると、「あえて」コミュニティをたたむことも考えなきゃ、となります。
はじめる時からたたむことを考えるのもどうかと思いますが、惰性で続けるよりは、潔くやめたほうがよいこともあります。また、あまり考えたくありませんが、継続することが、関係者にとって耐え難い負荷になる、という危険性もあります。なんのためのコミュニティか?そしてそれを続けられるか?そして続けたいか?ということを考える時期が来るかもしれません。「継続」は当然としても、あえて「閉じる」ことも選択肢に入れることで、少しは検討がラクになるんじゃないか?と思います。もちろん、安易に「閉じる」ことを選択してほしくはないのですが。
そして情報セキュリティは? 〜 自分なりに情報セキュリティと付き合い、楽しめるように 〜
とりとめなく書いてみましたが、「楽しむこと」、「気楽に構えること」、「やるときはやる」ということが出来れば、多分長く付き合えるのではないでしょうか
| • | ある分野であれこれやっていく |
| • | あれこれやっていくのが楽しくなるように動く |
| • | クリティカルな局面ではそのように動く |
| • | 困っている人は、(出来る範囲で) 助けてみる |
再掲になりますが、基本はこんなところです。興味が出てきたと思ったら、いろいろ調べたり、調べるだけでなく対話したり、とかやってみてください (^^)
体裁なんて気にせずに、やりたいことをまずやってみてください。ただ、人に迷惑をかけるのだけはカンベンしてね (^^;
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。
