「PC貸して!」の頼みを振り切るエレガントな回答術萩原栄幸の情報セキュリティ相談室(2/3 ページ)

» 2014年09月12日 08時00分 公開
[萩原栄幸,ITmedia]

「調べる」目的を履き違え

 実際にこのようなやり取りから生じた情報セキュリティ上の事案が幾つかある。その1つでは事件に発展し、院生のM君は退学処分になった。

 人を信頼するのはとてもいいことだ。情報セキュリティの観点でも筆者は常々「最後はヒト次第である」と思っている。しかし無防備な信頼、裏付けのない信頼は、「博打」をしているようなものであり、同じくらい危険であることも知るべきである。この考え方を理解できない人は日本人に多いともいう。

 例えば、昔あるラーメンチェーンが潰れた。品質や顧客対応は素晴らしかったが、潰れた原因は共同経営者の1人が多額の横領をしたためであった。その時の被害者がこう話していた。

「なぜ、なんだ! 俺はお前のことだけは信頼していた。だから社内監査も会計監査も全てお前の仕事の邪魔になるというから除外していたのに。信頼していたお前がこんなことを平気でするとは理解できない!」

 この被害者の気持ち、考え方は日本人には通用するだろう。しかし、欧米人なら恐らくこう言う。

「俺はお前の事をこれまで信頼してきた。そして、今後も信頼したい。その裏付けのためにもぜひ検査は厳格に受け、協力してほしい」

 つまり、検査や監査は「信頼」を裏付けるためにすることであって、「信頼していないから実施する」というものではない。

 前述の例題にあてはめると、論点は2つある。1つは「PCを貸すか? 貸さないか?」という点。もう1つは、「今までの信頼関係を崩さずいかにしてうまく“お断り”するか?」ということだ。

 以前に何回もお伝えしているが、個人所有のPCの中には本人が驚くほどの、公開するには極めて不適切な個人情報が山のようにある。だが、そのことを知っていても実際の行動となかなかリンクしない方が多く、例題6のようなケースでは実際に貸してしまう場合が散見される。

 どんなにデータを消しても、メールの内容、旅行の写真、恋人との写真、動画、家計簿、日記帳、論文、スケジュール、友人の氏名とメールアドレスと住所、大学名や勤務先、お気に入りのURL、ネットバンキングのID、パスワード、SMAPのファンクラブの会員番号――ここに挙げた全てといっても過言ではないくらいの個人情報がPCの中にある。それを貸した相手にこれらの情報を知られてしまうリスクは大きい。

 こう筆者が話すと、時々「私には秘密情報などない。全部知られても構わない」と豪語する人がいる。こういう人ほど想像力が欠如している。本当に情報が漏えいした場合、気の毒なくらいにうろたえてしまうシーンを何度も見てきた。

 前項で挙げた論点の1つである「貸すか、貸さないか」という点における答えは、「100%貸してはいけない」である。貸してから後悔しても遅い。全ては自己責任になる。「データをごみ箱にいれて削除してから貸せば?」と思っても、それもダメだ。

 少々技術的な説明になるが、なぜならツールで記憶装置(HDDなど)の未使用領域を完全削除しようとして、物理的なアドレス空間での消去はできても、一時的利用に伴う「現在使用領域」の削除は不可能であるためだ。論理的な思考をするには、HDDやSSDにおけるデータの記録の仕組みや「OSにおける削除」の考え方、そして、何よりもユーザーが認識していない領域(データを一時的に記録しておく領域など)に対する知識をきちんと知らなければならない。知らないままでいると大火傷をしかねないからだ。

 そして、この問題の醍醐味は2つ目の論点にある。つまり、「どうお断り」をするかだ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ