アーカイブ

月別アーカイブ: 7月 2004

先日の情報セキュリティEXPOの専門セミナーで、「WEBセキュリティ」のテーマを担当しました。その講演の報道として、日経BPにて「“フィッシング”に利用されないようなサイト作りを」 – テックスタイル岡田氏 という記事が掲載されました。

実は、フィッシングの話に終始したわけではなく、むしろこの話題はWEBのセキュリティの考え方をどのように反映させるか、それによってどんなリスクが軽減できるか、という話の一環で補足的、例証的に取り上げたにすぎません。この機会に、そのあたりを少し説明したいと思います。

前提として、セキュリティは、技術的な要素に加え、社会的な要素があります。ビジネスの観点からすれば、WEBサイトで行なうどんなことも、その企業の社会的な責任が強調されてしかるべきです。ですから、企画段階において、WEBセキュリティは技術の話より先に、社会的な責任のほうを検討しなければなりません。

技術的な要素が、機密性(Confidentiality)、保全性(Integrity)、可用性(Availability)の3つであるのに対し、社会的な要素とは、説明能力(Accountability)、信ぴょう性(Authenticity)、信頼性(Reliability)の3つが挙げられます。

技術的要素と社会的要素の関係

技術的なセキュリティ要素の優先順位は、社会的な要素によって判断され、強弱がつけられることになります。

たとえば、顧客の情報資産がクリティカルな脅威にさらされていることがわかった場合、可用性のためにサイトをそのままにしておくのはよくありません。むしろ可用性は犠牲にし、機密性を守るためにWEBサイトを止める、という判断があることでしょう。これは、信頼性という社会的なセキュリティを守るというミッションによって優先順位が判断されるわけです。

そうすると、セキュリティを守る「技術」の位置付けが明確になってきます。これは、社会的な責任を果たすという目的のもとに、生じ得る難しい問題を極力減らすための道具なのだ、ということです。それをどう操るか、ということは経営的な問題だからです。 社会的な責任からはじめ、そして技術的な手法にブレイクダウンしていくのです。

そこで、例えば、昨今流行の「フィッシング(phishing)」 – なりすましサイトにユーザが「釣られる」被害 – を軽減するためにできることを、どのように整理できるか考えるとしましょう。 下記の例は詳細な点を網羅していませんし、一概に○×はつけられないでしょうが、検討の進め方を示しています。

まずは、「説明責任」。すると、企業が説明を意図的に怠ることにつながる手法(たとえばアドレスバーを隠す、フレーム表示する、など)をどうするか考えられます。「信ぴょう性」を確保するために、紛らわしい、容易に誤用される手法(似たドメインの許容、フレーム表示)を考えます。最後に、「信頼性」を確保するためには、「こういう方法はとらない」ということの明示や、オンライン・オフラインを問わず顧客とのコミュニケーションの中で企業のサービスの姿勢(プライバシ保護、本人確認のポリシー、他の業者によるクッキーの有無など)を示していくことができます。

あらゆる種類の詐欺、詐称はなくならないでしょう。だからこそ、企業としては、ユーザがそれを信じてよいのかどうか判断できるほど、最善を尽くしているかどうかを考えなければなりません。その点で「社会的なセキュリティ」の3要素は、思考ツールとして非常に有用です。起こり得るあらゆる脅威に関して、それに対応する技術を評価するところから始めると泥沼に陥ることがよくあります。セキュリティ手法の検討に疲れ果てると、セキュリティぼろぼろのサイトになってしまいかねません。

そういうときにこそ思い出して欲しいことがあります。つまるところ、セキュリティ問題は特定の手法の善し悪しの問題というより、「しつけ」の問題だということです。「セキュリティは結局、人だ」と言われますが、人のしつけという意味は当然のことながら、ひいては、採用する方策にそれは反映されてきます。レベルが上がってくると、そのガイドラインは「ドレスコード」にも例えられるのでしょうね。

落ち着いて、その企業のあるべき姿勢を原点に、もう少し上の角度から見て整理すると良いのでしょう。企業のWEBサイトは、その企業の「しつけ」について良くも悪くも雄弁に語っているんですね。自戒の意味をこめて、精進したいと思います。

IPO時の注目:「目論見書」

テンアートニのマザーズへの上場承認が7月1日、発表されました。同社はJava、Linux、RedHatなどというキーワードに関連する会社です。Javaや商用製品ディストリビュータとしての業績と、数年前に合併した喜多さん率いるNothern Lights(ノーザンライツ)ブランドのハードウエアでも知られています。

IPO(株式公開)発表における関心が集まるのは、上場資料、目論見書の「事業リスク」に関する説明の項(英語ではRisk Factor/Prospectus/Form 424)です。この欄は数年前に上場したぷらっとホームの書類にはオープンソースソフトウエアとビジネスの関係について、日本の株式史上初めての解説がありましたし、米国Redhatの「リスクはインターネットがなくなること」など、企業の活動方針の主張として興味深いものがあります。

事業に関する記載

今回、テンアートニの目論見書は「新株式発行並びに株式売出届出目論見書 」の第二部【企業情報】にあります。まず、同書11ページ (PDF内の24ページ)に「3【事業の内容】」、リスクについては同書20ページ (PDF内の33ページ)からの「3【対処すべき課題】」、「4【事業等のリスク】」に記載されています。

同社はまず、「事業の内容」を示す部分で、オープンソースのLinux導入のメリットとして、開発コストを低く抑えることができる、コスト競争力がある、という点のみを挙げています。リスク説明においては、Javaのリスクとして他の技術の台頭の可能性を挙げているのに対し、Linuxに関しては、製品を販売するという観点に特化して記載されています。

そして、事業の課題として3つの要素、すなわちLinux関連の人材確保育成、Linux訴訟問題、Java製品の拡販すなわちパートナーシップの確保について言及しています。

リスクを説明する部分で、訴訟問題の可能性としてSCO問題について「(5)知的財産権について」という節で言及しています。この問題に関しては、レッドハット株式会社(日本法人)とのビジネスパートナー契約、そしてOSDLとの協力による情報収集に務めるとしています。



ひとつの視点「本格的なアプローチ」

パートナー戦略などにもいろいろ突っ込みどころはあるんですが、ここでぐっと視点を絞るとすると、「テンアートニは本格的なLinux企業としてオープンソースによるサービスにどう取り組むのか」という点をみることができます。

大前提として、現在、Linuxは、ボランティアプログラマの集団によってではなく、企業内にいる職業プログラマによって開発されています。それは企業として成果物をオープンソースとして世に出すことにコミットしていることを意味しています。ですから、「開発コストが安い」、というのは、現在のLinuxには当てはまりません。他の主要ソフトウエアに関しても、政府や団体によるスポンサーシップや、開発主体企業が存在し、成果をオープンソースとするスタイルが多くなっています。開発は決して、無料ではありません。総じて、オープンソースソフトウエアそのものを「開発コストが安い」と言うのはナンセンスです。

ユーザへの影響でわかりやすいのは、オープンソースは、その「利用」に関して自由であり、オープンだという点です。オープンソースソフトウエアの特徴が「コスト競争力」ではなく、その「開発プロセス」にあり、それゆえにプロプライエタリなソフトウエアと比べて、ユーザがとるべきリスクが上にも下にも異なるという点があります。

すると、その利用の自由に伴う責任 – リスクも含む – については誰にかかってくるのでしょうか。顧客から対価を得たインテグレータがユーザに対して責任を負うことになります。ユーザはLinuxを買うのではなく、道具としてその機能を買うからです。Linuxを使ってそれを実現することにより、対価が発生しますから、その対価を受け取ったインテグレータはその品質に責任を持たなければなりません。そう、オープンソースインテグレーションの品質に責任を持つべきなのは、そのインテグレータです。

インテグレータの立場でこれをどのように行なうかについては、あえて平たく言いますが、「深さ」があります。これが、トラブルシューティング能力や、新機能、想定以上の規模への体力を図るものとなります。

  1. ソースコードは使わない。ディストリビューションのバイナリを使う。
  2. makeするときに必要に応じ使う。それでも、大抵コードそのものは見ないし、直さない。
  3. 障害があればソースコードまで追いかけ、パッチを提供。新機能が欲しければ開発に参画。

深度1の会社は無数にあります。プリインストールサーバで済む話であれば、インテグレータの必要もないかもしれません。設定さえすれば完結しますので、オープンソースソフトウエアを使うかどうかさえほとんど関係ありません。深度2は、アプリケーションを手がける会社ではやっていることもあります。深度3まで行ってはじめて、「ソースコード」が関係してきます。インテグレータの立場では、この深度3からが「オープンソースソフトウエアを扱う」ことを意味します。深度3以上として、「なにかの開発母体、主体になる」というレベルがありますが、それはインテグレーターのサポートレベルの議論とは別の話にも思えるのでこの論点からははずします。

テンアートニ社の目論見書を見る限りは、生じ得る問題の対応をRedHatとOSDLの陰にひそめるアプローチをとっています。はっきり言えば、明確にされているのは深度2までです。RedHat社との関係次第。しかも日本法人。ティファニーの代理店って、ティファニー以上のものにはならないですよね。米国のRH株価はティファニーに例えるにはオソマツだとは思いますが・・・。いずれにしても芳しくないです。

ただ、実のところ、どうなんでしょう、プロフェッショナルコンサルティングや、ハードウエアの開発事業をするわけですから、深度3が十分あるはずです。それなのに、どのように取り組むのかについては、語るに落ちることを避けたかったのでしょうか、この目論見書では読み取れませんでした。 それでも書きようはあったと思うんですね、、、。ソフトウエア開発能力の維持について、あるいはOSDLでの担当について、など・・・。オープンソースによるサービスはそこがポイントなんだということを、喜多さんはご存知のはずだと思うだけに、やや残念でした。

上場で集めた資本をきっかけに、より「本格的な」オープンソースサービス企業としてのご発展を期待したいと思います。

■テンアートニのIRサイトと目論見書

http://www.10art-ni.co.jp/ir/index.html

http://www.10art-ni.co.jp/ir/pdf/040701mokuromi.pdf

■ぷらっとホーム上場年度のIRサイトと目論見書

http://www.plathome.co.jp/about/ir/release_2000.html

http://www.plathome.co.jp/about/ir/pdf/kari.pdf