河野真治 @ 琉球大学情報工学です。(mixi より..)

「 人依存の対策はそろそろ止めないと」
http://www.atmarkit.co.jp/news/200603/17/winny.html

まぁ、Winny を使うなって論法なんだけど。奥天陽司氏とからしいが、

 セキュリティの問題は人の問題

だっていう基本を否定するするのはどうかと思うね。もちろん、

 人によらず、完璧な解決が数億円で可能です

という商売だってのはわかるけどさ。

「リテラシー向上が安全維持のキモ」ってのも低すぎ。それより、
わかっている人を雇うっていうのがどういうことなのかを理解して、
ちゃんとお金出すべきなんじゃないか? 

一方で、

 情報を漏らすことによる利益>>情報を守ることによる利益

だったら、前者を選択する方が合理的だとも思う。それじゃ、やっ
ちゃうよ。短期/長期という視点はあるにしても。コストを払うん
だったら人件費なんじゃないのか? 責任に見合った給料払っている
のか? (ま、それが一番高くつくけどね) 


    *    *    *    *
    

人に依存しない対策が可能って言うのは基本を否定することだと思
う。そういう人多いのかな。技術でセキュリティを解決する社会っ
てのを身をもって体験するまでわからないことなのかも知れない。

技術はいくらでもある。chroot してWinnyしたって良いわけだし(
そういうAPIがWidowsにあるかどうかは知らないけど)、あるいは、
VMware からアクセスしたって良いわけだ。かなり安全だよね。で
も、それを選択するかどうかは「人の問題」。 

そして、強力な「アクセス制限、転送制限」みたいなものを設けれ
ば設けるほど、人はそれを避けて通ってしまう。小指の先程のメモ
リカードで1GB持っていける状況で、技術的に「人に依存しないで」
セキュリティを上げられるとか考えるのって変だよ。それを選択す
るのも人間だからさ。 

Winny を使うこと自体が悪だってな意見も結構見たけど、そこから
インターネット自体が悪だっていう所までの距離はほとんどない。
無制限の複製と配布、それがインターネットの基本だってのを、ち
ゃんと理解していれば、そんな論法にはならないはずだと思う。 

一歩一歩は、妥当かも知れないし、妥協かも知れないけど、その一
歩がどんな方向に向かっているかってのを、ちゃんと考えて欲しい
と思う。アインシュタインが犯した間違いもそういうものだし。


---
Shinji KONO @ Information Engineering, University of the Ryukyus
河野真治 @ 琉球大学工学部情報工学科