様々なコメントをいただきありがとうございました。コメントでいくつか質問や問題提起がありましたので、新たなエントリーという形で個人的な考えを書いてみます。もちろんまだまだ不十分な内容でもありますのでご意見をいただければと思います。
なお「とにかくWinnyの規制には反対!」という方は「ISPによるWinny規制が良くない理由をちゃんと考えよう」というエントリーがありますのでそちらにコメントをお願いします。(こちらのエントリーへ同種コメントがあった場合削除することがあります。またコメントを書く前に一度過去のエントリーのコメント欄を良くご確認ください。既出のコメント内容等については削除する場合があります。)
[注意]あくまで重要情報の漏洩・拡散の防止の観点で書いています。著作権保護等に関する議論は対象外です。[注意]
■以前からP2Pネットワークへの情報漏洩の問題があったにも関わらず有効な対応策が取られていない理由
おそらく組織や団体の管理者やセキュリティ担当者の多くがWinnyを使用しておらず、また漏洩情報の実情に接する機会も少なかったために事態の重大さに気づくのが遅れたのではないでしょうか?昨年後半から官庁等からの漏洩事故発表が増加し広く問題が認知されるようになったのではないかと思います。私自身も事故の存在は知りつつも昨年後半までセキュリティの課題としてそれほど大きく考えていませんでした。当時の認識のイメージとしては現在の山田オルタナティブのような状態でしょうか。
■Winnyを規制しても結局いたちごっこになるのでは?
「いたちごっこ」でも良いのではないかと思います。情報セキュリティ分野において「いたちごっこ」は最も効率的なアプローチの一つだと思います。ウィルス対策ソフト、修正パッチの適用等セキュリティ対策の多くは「いたちごっこ」です。かつて情報セキュリティ対策自体が「いたちごっこ」だから行っても無駄ということを言われていた時期がありました。ある対策が有効であれば「いたちごっこ」であれなんであれ対策を行うべきでしょう。100%の安全を求めるあまりに目の前のリスクを見逃してはいけないと思います。
Winny上に情報漏えいをしてしまった多くの企業団体はセキュリティ対策を怠っていたのでしょうか?全てではないにせよ多くの企業は多額の対策費用を投じて自社のネットワークを保護していたはずです。それらの投資の大半は、ハイスキルな侵入者を想定した高度なセキュリティ機器やサービスなどに使われていたと思われます。周囲で発生しているWinnyからの情報漏えいというリスクを認識できずに、当時考えられていた本質的なセキュリティ対策を優先してきた結果ではないでしょうか?「いたちごっこ」を恐れるあまりに脅威とリスクの変化に対応できていなかったともいえるでしょう。
またWinnyのない世界で同様のリスクが本当に発生するのかという点を見極めなければなりません。Winnyと同種の他のソフトウェアの違いは、ウィルスが原因の一つであるにしろ実際に多大な被害が発生しているということです。また、被害の程度についてもいまだに過去の漏洩事故のデータがダウンロードできる状態にあるなどWinny以外で発生している漏洩事故とも性質が大きく異なります。一つの仮説としてWinnyのプログラムはこの手の漏洩を引き起こす攻撃に対し比較的脆弱だったということが考えられます。国内外の同種の他のソフトで現在Winny上で発生しているような問題がそれほど発生していないのは、Winnyは漏洩事故を起こしやすい仕様または実装だったことも原因の一つではないでしょうか。もちろん技術的には任意ファイルの実行によりあらゆる操作が可能ですが、Upフォルダやその内容の設定を煩雑にすることにより攻撃の手間を増やすなどしてウィルス製作者に対する障壁を高くするなどの対策は可能と思われます。このような対策により現在発生しているような情報漏えいの発生確率をいくらか低くできる可能性があります。今後、更なる検証が必要ですが、なぜWinnyでこれだけ多くの事故が発生し、なぜ他のプログラムでは少ないのか。なぜ海外で同種の事故が発生していないのかなどについてもう少し掘り下げる必要があるように思います。
■恒常的な対策はどうするのか?
散々あちこちで書かれている組織・個人のセキュリティ対策を確実にする。情報の持ち出し管理を徹底する。不用意なクリックを防止する。十分な注意喚起を行う。ウィルス対策ソフトを使用し更新する。Winnyを使うマシンで重要ファイルを扱わない・・・等等は当然として、ここではWinny上での情報漏えいは他の一般的な情報漏えい事故とは大きく性質が異なるという観点でその対策を記述します。
恒常的な対策として、実際に問題が起こったプログラムの使用を規制しつづけるというのはアリかと思います。Shareにユーザが移行したとして問題が起こればShareを規制するということを続けます。これによりプログラム開発者に同種の問題を引き起こさなくするような安全なプログラムを開発する動機付けになるかと思います。
現在想定されている匿名P2Pファイル共有の仕様では作為的であれ事故であれ他人の人権を侵害するような悪質なファイルが漏洩してしまうとその回収が困難で拡散を続けます。情報セキュリティの観点からは、こういったネットワークの存在自体が大きな脅威となります。つまり匿名ファイル共有という仕様が脅威でありそれを社会としてどこまで許容できるのか、すべきなのかについて、様々な観点から議論を行う必要があるように思います。
その他恒常的な対策の選択枝の一つとしては、未成年の喫煙、無免許での自動車運転、幼児ポルノなどが禁じられているのと同様に、結果的に著しく社会に害を与える危険な使い方が可能なソフトウェアについては、本来の目的がどうであれ使用条件を制限するなどの法的規制もあり得るかと思います。
もっともこういった規制は市民の自由を奪うことになるので、ある程度情報管理が可能な匿名P2Pファイル共有ソフトウェアに移行するなど、利用者、開発者のモラルによって規制に発展しないよう自制するに越したことはないかと思います。
おそらくこのような話を書くとすぐに著作権保護の話と混同されてしまうのですが、ここでは純粋に情報漏えいの防止と被害者の救済という視点で書いていますのでその点ご理解をお願いします。
[注意]あくまで重要情報の漏洩・拡散の防止の観点で書いています。著作権保護等に関する議論は対象外です。[注意]
最近のコメント