続・朝日新聞「国立大研究員が個人情報を公表」報道
朝日新聞が1月4日の朝刊で報じた
「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表という記事について、この数日間、ネット上で議論が盛り上がっていたようなので、再度考察してみます。
前回、くまは、
office 氏のような外部の人によるセキュリティホールの調査、指摘はたびたびあり、その効果は大きいのですが、欠陥を指摘する行為自体を「悪」と取るような記事は、セキュリティホールの指摘をためらわせることになります。
と書きました。それについて意見は変わっていませんが、ネット上では office 氏を非難する声が多数です。ここで気をつけなければならないのは、論点が二つあるということです。第一に、「セキュリティホール(欠陥)の調査行為や公表が許されるのか」ということ。もう一つは「今回の方法に問題がなかったか」ということです。
前者は当然必要なことだと考えます。ネット上にはセキュリティ意識の低い管理者によって設置された欠陥のあるプログラムが多数放置されています。銀行やショッピングサイトにも、なりすましや情報漏洩の危険性のあるサイトがいくつも指摘されています。サイト構築に携わる SE やプログラマの中にも、セキュリティ意識の低い人はざらにいますから、これだけニュースになっても日々欠陥のあるプログラムやサイトが作られているのが現状です。これらのサイトをチェックし、警鐘をならしていくことは大切です。
また、そのようや公的な調査機関が存在しないので、一部のセキュリティ専門家やハッカー(クラッカーではない)が行なっているというのが現状です。
しかし、今回の office 氏のやり方には問題なかったのでしょうか。ACCS に通知する前に脆弱性を公表してしまったことや、プレゼンテーション資料に入手した個人情報をそのまま載せてしまったこと。そしてその資料が(office 氏は知らなかったようですが)配られてしまったことなどは、明らかに問題です。
今回 office 氏が責められるべきは後者の問題なのですが、前者の問題とごちゃ混ぜにしてしまうと、「サイトの脆弱性を調査することは犯罪」であるかのような風潮を生み出しかねません。「不正アクセス禁止法」がネットの治安を悪化させてしまっては本末転倒です。朝日新聞の記事は「大学研究員が」と見出しにつけているので、「警察官が暴力」「中学教師が盗撮」「公務員が痴漢」というような新聞・テレビが好きそうなネタに位置づけられているのかも知れません。しかし今回の記事はそのような安易な観点で書いてはならなかったのではないでしょうか。
Comments