前回、セキュリティ対策をきちんと施すと、システムの開発費は当初の予想の倍にふくらむ、という話をしました。そのときに、開発を考えるときの選択肢として、
・覚悟して事前に想定の倍の予算を投じるか
・そこをケチってあとで倍以上費用をかけることになるか
・Webに色気を出さずに地道にオフラインメインでがんばるか
という三つを提示してみたわけですが、某所で「最もメジャーな方法論が抜けてます」というご指摘をいただいちゃいました。それが今回のタイトルの「サイバーノーガード戦法」です。

 ノーガード戦法とは、アニメでも有名なマンガ「あしたのジョー」で登場した戦法です。武器とするカウンターパンチ(パンチを繰り出す相手の勢いを利用してパンチを繰りだし、威力を倍加させる打ち方)を繰り出すために、主人公の矢吹丈は思い切って他の戦法を捨ててカウンター一本に絞って相手のパンチを待ちかまえます。通常ボクシングでは両手を顔や体の前で構えて、相手のパンチから自分を「ガード」しますが、この戦法はガードを放棄して(このため「両手ぶらり戦法」とも呼ばれています)相手を言わば挑発するわけです。
 転じて「サイバーノーガード戦法」とは、例えば「完全なセキュリティはあり得ない」という言わば常套句を援用して「完全はあり得ない、だから対策しない」などと、セキュリティ分野の人々にとっては十分に挑発的(笑)な戦法のことを指します。ある意味セキュリティの全否定に近いので、この戦法に対してはセキュリティを意識している人ほど激高する傾向にあるようです。

 前回触れましたが、現場としては結局対策予算がなければどうしようもないわけで、そうなると「放棄」せざるを得ないということもあるでしょう。それでも何とかしようとするならば、これはもうまさにデスマーチのエスカレーションというか、言い出しっぺの法則というか、何とかしようと思った人が身を削って対処することになってしまうわけです。
 「サイバーノーガード戦法」と揶揄するのは、おそらく現場でかっつかつで動かしているサービスのことではなく、お金がありそうなのにケチってるとか、そういうケースのことでしょうね。派手にサービス展開してるのに、なんでそんな「最低限」の対策すら自ら積極的に「怠ろう」とするのか。そこに「優先順位が違うんじゃねえか?」という思いがあって、それでそういう言い方になっているような気がします。

 ただ、外から見ただけでは、そのサイトがどういう資金繰りかとか、お金出す気はあるんだけどたまたまツテがなくてどこにも依頼できないために出せていないとか、そもそも能力がないところと手を組んで開発しているために対策「できない」とか、実はいろいろ事情があるのかもしれません。でも、どんな事情であれ、それは外からでは分かりません。そこがIT系サービスの厄介なところです。何かを買おうとお店に行って、店先で商品を選ぶときは少なくとも、ごく普通の人でも分かる「チェックポイント」があります。でもWebにはそういうものがないわけです。デザインとか使い勝手は自分で確かめられるんですけどね。しかしセキュリティってのは使い込んでも分からないところがあったりするわけです。それこそ「スカウター」とかあればいいんですけどね(笑)。

筆者注
以前、セキュリティとはまた違う視点で「Webスカウター」ってのがありましたっけね。

 「スカウター」を持たない我々は、どんなところに注意すれば「サイバーノーガード戦法」であることを見破ることができるでしょうか?

 正直なところ、そのサイトのWebアプリケーションが「ちゃんとしてるかどうか」を見極めることは、それこそWebアプリケーションの監査スキルが無ければ難しいと思います。Webアプリのプログラマーでもなければセキュリティの専門家でもなく、まして監査を商売にしているわけではない一般的な利用者としては、そもそも監査スキルや、あるいはその基本中の基本ですら、「習得」しなければチェックできないわけです。そして、監査スキルが習得できていれば監査で商売してるでしょうし(笑)、そのサイト自身の「同意」なしに「監査」とかしてしまったら、法律(不正アクセス禁止法)に違反する恐れもあります。

 つまり、技術的な方面からチェックする、ということは結局難しいのではないでしょうか。

 そうなると、傍証を積み上げて総合力を判断するしかなさそうです。そこで、いささか頼りないかもしれませんが、傍証を得るための経験則やTIPSを呼び出してみましょう。

 これまでにいろいろなWebサイトを見て来た経験から言えば、「個人情報」を不必要に「登録」させようとするWebサイトは、セキュリティ対策がまっとうではない可能性が高いような気がします。
 個人情報保護法が完全施行されてから、個人情報を収集する際には情報の持ち主の「同意」が必要で、「同意」を得る前に「利用目的」と「利用範囲」について説明しなさい、ということになりました。その結果、多くのサイトではそうした運用が取られるようにはなりましたが、中には「同意」さえ取っておけば構わないという考えなのか、サイトの荒らし対策や、利用規則違反対策に個人情報を使おう、という、ちょっと微妙な使い方をしているサイトも見受けられます。

 なぜ「微妙」なのかと言えば、本来違う形で解決すべき問題であるように思えるからです。技術的に対策可能な手段が残されているのに、運用ルールと利用者のある意味負担増によって回避している……なんか「ぼくたちの技術力では対処できまっせーん」と言ってるように聞こえるんですけどね(笑)。そしておそらく、こういうスタンスが「ノーガード」と通底するのかなぁ、などと思っちゃいます。そういうのが見えちゃうと、ちょっと個人情報を預ける気にはなれませんね。

筆者注
まあ、「個人情報」といってもメールアドレスくらいなら、日に何百通と来る迷惑メールが少しくらい増えたとしても、今さらどうでもいいっちゃいいんですが。

 しかし、運営姿勢みたいなものならば、技術に明るくなくてもなんとか判断できそうですよね。ただまあ、これだけでは少し弱いので、次週はこのネタもう少し掘り下げてみたいと思います。