2001/01/21
セキュリティ意識の話
IT関連の話ですが、経済産業省が政府利用のIT関連製品に関するセキュリティ評価認証体制を創設するそうです。
これに関するアンケート調査をJIT(日本インテリジェントトラスト)という団体が受注して実行しているんですが、ここのサイトがひどいんですよ。セキュリティ意識に関するアンケートが延々と続いて最後に住所、電話番号、名前などの個人情報を入力させるのですが、SSLもかけてない、垂れ流しアンケートなんです。まともにセキュリティ意識のある人間があそこで回答は返せないようになってるんですね。おそらく「セキュリティ意識が低い」という結果を導きたいんでしょうが、あまりにあこぎで汚いやり方。私はセキュリティ評価制度には反対です。日本におけるセキュリティ評価制度は、今回のこのアンケート一つ取っても、どう考えてもまともな入札が行われているとは思えず、恐らく天下りだのバックリベートだのが絡んでいるんでしょう。その製品が本当にセキュリティに優れているかではなく、いかに政府に気に入られたかで与えられる認証制度など、まったく価値がありません。そんなしょうもない認証制度では機器の価格が上がるだけです(そしてその差額は天下り役人の懐に入るわけだ)。もっと怖いのはこのいい加減な審査を通ったからといって安心してその機器を使うこと。特に認証を受けた機器の種類が少なければそれだけネットワークは脆弱になるんですよ。ちょっと説明しますと、例えばA社がY社の製品、B社がN社の製品を使っていてN社の製品にセキュリティホールが発見された場合、被害はB社だけで済みますが、両者ともN社の製品を使っていたら両社被害に遭います。もちろん単一LANに対する機器は統一したほうが良い(A社がY社とN社の製品の両方を使わないほうがいい)のは言うまでもありません。クラックする側も単一機器にしてくれればその機器に対するアタック方法を考えるだけですから楽なんです。
もしやるなら、認証後にセキュリティホールが見つかった場合、経済産業省が全額補償する覚悟はあるんでしょうね。もちろんそんな制度を通した内閣も総辞職ですよ。


 

Topへ