第35回:セキュリティのこれから
前回、前々回に引き続き、「重要な情報をなくす」ということについて。
個人名や住所、性別、生年月日などのデータは、かつては保持すべき「個人情報の基本4情報」として、コピー、拡散可能なインターネットに公開することは避けられてきたが、言うまでもなく今の時代、SNSが隆盛している今は、そんな情報はちょっと調べれば手に入るものだ。珍しくもなんともない。
従来の観念で考えれば、これは「赤信号をみんなで渡ろう」という無謀な行為にも思えるが、
ここで考えたいのは、そもそも「なぜ個人情報をネットワークに置いてはいけなかったのか?」ということだ。
ネットワークに個人情報が置かれるのは、かつては「非常に恐るべきこと、怖いこと」のように捉えられてきた。
電話番号や郵便番号の流出による、悪質なDMや訪問販売、キャッチセールス、オレオレ詐欺……といったリスクがよく挙げられてきた。
それについて云々するのはここでは置いておくが、これらのリスクは個人的には、「外に出れば雨に降られるかもしれないリスク」と同じだと考えている。
それはありうること、という心構えさえできていれば免れうるし、「外に出たこと」とは別問題の話だと思う。
それよりフェイタルな情報は、「パスワード」とか「クレジットカードの番号」といったものだ。こうしたものが流出することこそが、本当に危険だ。およそ考えうることが何でも出来る。
では、「重要な情報をなくす」にはどうしたら良いだろうか。
銀行にお金を預けるのをやめるか、クレジットカードを解約するか?物理的な媒体としてのキャッシュカードと通帳、クレジットカードは保守できても、インターネット上のデータを守るのは確かに手間だ。でも、銀行のデータも流出するかもしれない。
ひとつ言えるのは、「認証の形を変えていく」というパラダイムだ。古典的な、「鍵があり錠前がある」というモデルでインターネット上でもやりとりをしているから、「鍵も複製可能」となってしまう。現実世界でも、家の鍵を複製されることは致命的なことだが、ネットでのそれも同義だ。
鍵ー錠前のモデルを変化させるアイデアは既に世の中にもいろいろあるし、僕もそういうことを考えるのは好きだ。たとえば、「鍵の言葉ではなく生体認証」という取り組みもあるし、「現実世界の物理媒体にアクセスするためのロックだけがネットにある」というやり方もある。本当にいろいろで、今はまさに過渡期にあるといえる。