【第28回】データマイニング・夜話
(その十:子供の頃わくわくした事)
コラムTOPへ戻る
|
|
|
|
|
【第28回】データマイニング・夜話 (その十:子供の頃わくわくした事) コラムTOPへ戻る |
|
|
セキュリティ関係で現在、情報の不正入手、および漏洩が社会問題化しています。統計的には、こういった犯罪の半数以上は社内からのデータの不正持ち出しが原因といわれています。 数年前、コンピュータ資源の管理ソフトを作っている会社と一緒にセミナーをしたことがありました。その会社は、コンピュータ資源の管理だけでなく、誰がどのデータにアクセスしたかという情報を詳細に記録するソフトを開発・販売していました。その当時日本ではまだコンピュータセキュリティというと外部からの不正侵入だけが防止すべき対象だと考えられていました。それで、社内の人間のオペレーションを逐一監視するという思想自体が定着していませんでした。 日本は近年犯罪が増加したといいますが、それでも先進国の中では伝統的に犯罪が極めて少ない国民性です。これは今に始まったわけではなく、今から1700年ごろ前の魏志倭人伝にも日本(倭国)には『不盜竊,少諍訟』(盗みをしないし、争いごとも少ない)と誉められています。つまり日本は当時の先進国であった中国人にも驚嘆されるほどの低犯罪国であったわけです。 そういう訳で社内の人間のコンピュータ操作の全履歴をログとして残し、それをベースに、違法操作(顧客ファイルの不正持ち出し、社内情報の不正アクセスなど)を摘発するという趣旨のソフトは日本の会社には全く受け入れられませんでした。そのソフト会社の社長はセミナーの席上、『現在皆さんはこういった社内犯罪はわが社には関係のないことだと思っておられるかもしれませんが、アメリカの事例が示すように日本にもこういう犯罪はすぐにでも起こってきます』と力説されておられました。それから数年、その予言通り日本でもあっという間にこの種のデータの不正持ち出しが社会問題化し、いまやそのソフト会社は大きく売り上げを伸ばしています。 余談になりますが、ファイヤーウォールと言えば大抵は外部からの不正侵入の検出を想定しますが、アメリカの企業ではそれにも増して目を光らせているのがP2Pのソフトの多用による通信量(トラフィック)の増大だそうです。現在アメリカのインターネットトラフィックの半分はこれらのP2P(主としてファイル交換、Skypeなどの無料IP電話)によるものと言われています。これらのソフトによる通信量の増大だけでなく、仕事の効率の低下などP2Pのもたらす悪影響を企業サイドとしては防衛する必要があるわけです。 さてここで不正侵入防止システム(IDS)がどうして必要か考えてみましょう。外部からの侵入を考えてみますと、家でいうと戸締りをしっかりしていないから侵入されるのであるから、戸締りを完璧にすればよい、ということになりそうです。しかし、OSやアプリケーションソフトにはバグがつきものです。これらの不完全な基盤の上に完璧な運用システムを構築できる訳がないのですから完璧なシステムを作ることは技術的にも経済的にも実現不可能である、という前提で考えるのが実際的です。 このような考えから、完璧なシステムを構築するという従来の伝統的なエンジニアリング的な発想から脱却して、不正アクセスが存在するのが当然だ、あるいはシステムは不完全であるのだ、という観点に思考を切り替えないといけません。 こういった不完全なシステムを運営していくには危機管理がうまくできないといけません。私は残念ながら日本人は基本的にこういった危機管理が苦手だと考えます。一方アメリカはこの点において優れていると言えます。20年近く前、アメリカ社会に実際暮らしてみて感心したのは、危機管理能力の高さです。異民族統治能力の高さとも言っていいかもしれません。国内にいろいろな宗教・人種・民族を抱えながら、それも反体制派の人間を許容しながら、統治していく様は見事だと思いました。 危機管理能力というのは、小さなことを確実に積み上げていくことが必要です。具体的に言えば、まずどんな些細なことでも明文化・文章化するということが基本です。これにより、言語による論理的 伝達が可能となります。私が日本人は危機管理を苦手とする、と言ったのは、このまず第一歩で躓いているからに他なりません。 芝生が造成中であったとしましょう。日本では、例えば『芝生造成中につき、立ち入りはご遠慮ください』という風に書くでしょう。それは、大抵の場合、看板を立てた当事者の一方的な楽観的推察で はこれを読む人は『芝生を大切にしよう。だから当分は入らないでおこう』という善意者ばかりだと推定しているに違いないからです。 しかし、仮に故意に無視したら、あるいは犬を追いかけて夢中になって弾みで芝生に入って来る人がいたらどういうことになるのでしょうか?何らかの罰が与えられるのでしょうか?処罰されるとしたら、どの法律のどの条文が適用されるのでしょうか?そもそもこういった私的な命令に従う強制力は(道義上は別として)存在しているのでしょうか?このように考えてみると、一旦この掲示が無視された場合の処遇に関しては実は何も決められていない、と言う事が分かります。 一方アメリカの場合はこういった掲示には、必ず何とかの条例(多くの場合、市や区の条例だったように記憶していますが)の第何条に基づき、こういった処罰の対象になると明記してあります。つまり、プログラムでいうと if then ... else ...の両方の条件について処理があらかじめ記述されているのです。この観点から言うと日本では、if then ... else ... の条件文の一方の分岐に記述が存在しない、いわゆる欠陥プログラムなのです! ついでにドイツの例を紹介しましょう。ドイツのハイデルベルクでは、丘の上に有名な古城がありますが、冬にこの坂道を登ろうとした時、目についた掲示板には、『この道路は冬は凍結する可能性があります。滑って怪我をしてもそれは登坂者個人の責任であり、市当局は条例XX条によって責任を負わず。』と書いてありました。流石に官僚国家ドイツだけあって、この文章の断定的な口調はアメリカ以上だと感心した次第でした。 ひるがえって考えるに日本のあいまいな書き方は危機管理の観点からはマイナスであると言えます。これはどういったところから来ているのでしょうか?日本の歴史をさかのぼって中国との関連で考えてみましょう。日本は奈良時代以降中国から多くの制度を取り入れています。しかるに私の見るところでは日本人の精神構造はそういった中国からの多くの輸入文化に本質的な影響を受けていないのです。中国は本来的にきわめて危機管理に強い社会です。つまり、アメリカ同様、中国も伝統的には明文化する主義です。例えば、紀元前四世紀の秦の商鞅の法律には『刑棄灰於道者』(道に灰を捨てるものは死刑)とあります。これは、灰を勝手に道に捨てると、風で灰が舞い上がり迷惑を蒙る人が多くなるのを事前に防止しようという意図です。 中国の唐代の法律(唐令)は30巻あり、条文は1546条もあったといわれています。それに範をとった日本の奈良・平安時代の律令は大部なものでした。十世紀に成立した延喜格は12巻もありますし、同時期に成立した延喜式などはなんと50巻もある膨大なものです。ちなみに中国で例外的に法令の数が少なかったのは、漢の劉邦が秦の都・咸陽(かんよう)に入城した時に秦の過酷な法律を全て捨ててわずか『法三章』にした臨時措置の場合のみです。 しかしこういった中国直輸入の思想がやがてすたれて、日本独自の文化が成熟した江戸時代の幕藩体制下では法律は至って簡素化されています。1615年(元和元年)に将軍徳川秀忠が発布した武家諸法度は13ヶ条しかありません。また同時期に発布された公家諸法度(正しくは、禁中並公家諸法度)も17条しかありません。なんと中国の100分の1程度の簡素化された状態であるわけです。 中国の法律には4つのカテゴリーがありました。勅・令・格・式です。勅とは禁止を知らせることで、犯罪の未然防止をする意図です。令とは犯してしまった罪(已然)を罰する意図であったといわれています。格・式とはある行為を奨励する法律であるとも、また臨時の命令とその事務処理規定である、とも言われています。 結局、危機管理とは、不測の事態が起こらないように事前に防御の対策を立てること、つまりここでいう『令』をアメリカ、ドイツおよび中国並みに整備することに他なりません。 |
|
| 続く... |
|
|
△TOPへ Copyright © 2006 Zetta Technology Inc. All rights reserved.
|
|