トップ>教育>情報教育と情報リテラシーから考えるネット社会のセキュリティ
竹田 信夫 【略歴】
竹田 信夫/中央大学商学部准教授
専門分野 情報工学・システム科学
本年より中央大学多摩キャンパスでは、全学的に「インターネット&情報セキュリティ」という科目が随意科目として開設されている。(随意科目は履修上限に関係なく履修できる、卒業単位にはならない科目です)
私はその担当の教員であるので、インターネットとセキュリティについてのお話をしてみたい。
中央大学が、学部をまたがる授業としてネットとセキュリティについての科目を設けた理由の1つは、現代において情報の利用特にインターネットに代表されるようなネット、あるいはクラウド環境の活用が日常的になっており、それに伴い、様々なトラブルが多数報告されているからである。
このような問題は学生に限らず、官公庁や民間企業等、様々な組織や個人が知らないうちに直面し、そのうちの一部は広くマスコミを賑わすこととなっている。
こうした問題には
等がある。
このようなトラブルは交通事故などと同様に常に日常的に発生しており、またこうしたトラブルが原因で、職を失ったり、退学させられたり、財産上の損害が発生し、あるいは精神的に大きな傷を受けたりという結果が生じている。
このため、そのような事態が生じないよう、指導、教育する必要があると考えられたのである。
このようなトラブルが生ずるたびにマスコミなどで識者が言うのがネットリテラシーやインターネットリテラシー等の(広い意味での)情報リテラシーの重要性である。
情報リテラシーとは、様々な定義がなされているが、一般的には情報を調査、収集、選択し、それを編集、活用、発信することのできる能力と考えられている。簡単に言えば情報を用いて必要な処理が行える能力ということである。
コンピュータやインターネットに限らず現代は情報社会であり、情報をうまく処理する能力は実際に生きていくに際して必要不可欠の能力であるから、日本で言うところの「読み書きそろばん」と同様の能力と考え、読み書きの能力を意味するリテラシーと呼ばれる。
このような能力は繰り返しになるが、現代社会で生きていくには不可欠の能力であり、その重要性は高い。しかしながら、情報リテラシーが読み書きそろばん程度の能力であれば、残念ながらそのような能力を有していたとしても現実にはトラブルを避けることは難しい。
日常生活の交通事故が読み書きそろばんで避けることができないように、現代のネットにおけるトラブルは情報リテラシーでは避けることが難しいのである。
具体的に最近発生したトラブルを見てみたい。
環境省等の職員らは、国際条約の交渉などの際に、海外ではセキュリティ上の理由から、政府の業務システムが使えないために GoogleのサービスであるGoogle groupを利用していたが、設定を正しく行わず、非公開設定にしていなかったため、交渉の内容のメモなどが全世界に公開された状態となった。
この事例によく似たトラブルは以前から多数おきている。
公開範囲の設定という基本的なことについての理解がなされていないためにこうしたトラブルがおきると考えれば、この職員達に必要だったのは情報リテラシーではないかということになろう。
それは一面では事実である。
しかしながら、この問題の本質は業務上秘匿性の高い情報を海外で取り扱う必要があるにもかかわらず、政府の業務システムがそれに対応していないことから、民間の公開された情報サービスを利用したという点にある。
取り扱う情報が秘匿性の高い情報であれば、そもそもそのような情報を民間の情報サービスを利用して共有することはあってはならない。
米国の会社であるGoogleは、米国政府の要請があればそれを拒むことは基本的にできないし、条約の交渉などでは国の利害が絡むため、米政府は必要があれば当然協力を要請すると考えられる。
必要に迫られてGoogleのサービス上に交渉の文書をアップロードした時点で、その情報は少なくとも他国の政府機関に知られることがありえる状態となっているので、情報管理上はこの時点で失敗を犯していることになる。
つまり、公開範囲云々の話以前に、政府はそもそも当該文書の情報管理に失敗しているということが問題であって、まずはそこをたださない限りいくら職員に公開範囲の設定を指導しても文書が漏れてしまうことは防げないのである。
報道等によると、省内のシステムはセキュリティ上の理由から、外部からアクセスを禁止しているとのことである。政府の職員であれば、交渉内容が秘匿される前提で、海外で交渉内容について国内の上司や担当部局などに判断を仰ぐ必要がある。にもかかわらず、その機能がないとすれば、この問題は個人の問題ではなく、省内システムの設計の問題であって、業務システムの問題により秘匿性を保った情報共有ができない状況にある担当者のミスをあげつらっても何の意味もないのである。
さらに言えば、公開範囲について常に設定を正しく行うべきであるというのは正しいが、そのような意識を持つ際には、現在のネット上の公開されているサービスは、公開している企業の都合によって、いつでもサービスの内容や設定等を変更しえるということも理解していなくてはいけない。
Googleは実際近年サービスの提供についてのルールを一方的に全面的に改定している。
ルールが改定されても、現に利用しているメールアドレスは簡単には変更できないし、業務等でネットワーク上の共有機能等を利用している場合、ルールや設定が一方的に変更されても、利用者はそれに対応して、簡単に利用について変更できない場合が多い。
Google、Amazon、Facebookといった代表的なインターネット企業のビジネスは、基本的にまず無料のサービス等で人を集めて、集めた人に広告を見せる等の手段で収入を得ている。利用者には利用者が作成し、入力した様々な情報を無料で利用させる一方、そうした情報を大規模な分析や追跡を行うことで、他の企業が望むような別の情報の形にして収益を上げている。このようなビジネスモデルで収益をあげるため、こうした企業では利用者の人々には、分析、追跡可能な形で情報を提供してもらう必要があり、それゆえ、これらの企業では利用者のデータは基本的にデフォルトで公開としているのである。利用者の情報がほとんど非公開になっては、これらの企業のビジネスにとって致命的な問題が発生するというのである。
よって、これらの企業のサービスを利用する際はそのような背景を踏まえたうえで利用の可否を検討すべきなのである。
このような、背景の理解やサービスの利用に伴って派生しうるの潜在的な問題の検討はいわゆる情報リテラシーの範囲を超えると思われるが、責任のある情報管理者はそこを知っていなければならない。
神奈川県警は、横浜市のWebページ上で学校を襲撃するなどと書き込んだとして、威力業務妨害の疑いで学生を逮捕した。学生は2秒間の間に約300字前後の襲撃内容を書き込んだことから当初から冤罪が疑われたが、学生は結局保護観察処分となり、所属大学から退学処分を受けるなど深刻な問題に見舞われた。
この事例はクロスサイトリクエストフォージェリ(以下CSRF)といわれる手口によるものである。この手口やこの手口の原因となっている仕組みは、極めて多数のトラブルを生じさせ続けている。
この手口は簡単に言えば、無関係な第三者を特定のインターネット上の住所(以下URL)にアクセスさせることにより、書き込みや特定の処理を行わせるものである。
「要するに、知らないURLはクリックするなってことでしょ」とまとめられてしまいそうであるが、事はそう簡単ではない。
この仕組みは2段階ないし、3段階の段階を経て発動される。
第1段階 実行する処理内容をURLにまとめる。
第2段階 そのURLが無関係な第三者がクリックないしアクセス可能な場所におかれる。
第3段階 そのURLをアクセスする仕組みを、無関係なページに仕込む。
以下各段階について説明したい。情報技術についての細かい話で恐縮であるが、実際に様々なバリエーションがあり、様々な問題が発生しているのであるのでお付き合いいただければ幸いである。
第一段階 実行する処理内容をURLにまとめる。
ここが実はこの問題一番の肝である。
皆さんが閲覧しているサーバとPC、スマートフォン、携帯等の間のデータのやり取りは、ほとんどの場合、URLにまとめられる。
例えば、yahooでxyzを検索する場合、簡単に言ってしまえば
http://search.yahoo.co.jp/search?p=xyz
というURLに検索語と検索するという動作がまとめられていて、このURLにアクセスすることで検索が行われるのである。
逆に言えば、このURLに第三者をアクセスさせることができれば、第三者の画面にはyahooの検索ページが表示されることになる。
最初にWebの仕組みが考えられたとき、PCや携帯等からサーバにデータを送信するためにはPOSTコマンドが、サーバからPCや携帯等にデータやファイルを送ってもらうにはGETコマンドが用意された。
その後大規模なインターネットのサービスの場合サーバを超える利用が発生することから、複数のサーバ群が全体としてサービスを提供するようになり、この場合POSTコマンドでデータをサーバに送るより、欲しいデータや処理の内容について、URLに全部入れることにより、どのサーバにアクセスしても処理が問題なくできるので、こちらの方法が取られるようになった。
事例の場合、例えば
http://www.学校の問い合わせ窓口.jp/cgi.bin?問い合わせの内容=”*****”&本文=”************”&お名前=”*****”
のようなURLが作られ、最終的に学生のPCがこのURLにアクセスすることで、威力業務妨害となった書き込みが行われたと考えられる。
このURLにアクセスするだけなら2秒あれば十分である。
問題は、このURLはただの文字列であるため、インターネットの掲示板などに簡単に転載することができ(第二段階)、インターネット上の弱点を持つ別のサイトに仕込みをすることで、無関係のサイトにアクセスしたときに、このURLに誘導することができるのである(第三段階)。
この学生はおそらくいつも見る、あるいは他の人が見ていて問題の発生していないサイトにアクセスすることで罠にはまり、結果的に威力業務妨害とされた書き込みをしたことになった。
このような手口で罠がしかれられた場合、この学生が何かに気をつけることでこのURLへのアクセスを回避できるということは無理である。ブラウザやセキュリティソフトの機能で回避できる場合があるが、それでアクセスが回避できるかというと気休め程度の効果しかないといわざるを得ない。
つまり、この事例の場合、まず知っておくことはインターネットにおいては意図しない操作が行われることがあるということであり、つまりはその書き込みがあったということはその学生の意図のもとに行われたということを意味しないという理解である。
この場合、理解に問題のあったのは神奈川県警の担当者ということになる。
もちろん、第三段階がしこまれていない場合も多いので、インターネット上でクリックする際にはURLがどのような操作、結果を引き起こすかを、そのURLを眺めて少し考えてからクリックするべきである。
しかし、このようなユーザが回避不可能な落とし穴があることはユーザも取締りを行う担当者も知っているべきである。
現代の社会は高度に情報化が進んでいるが、それに伴う個々の人々の認識や社会の制度がそれに対応して高度化しているというわけではない。
また、事例2で見たようにインターネットの技術はセキュリティ的に極めて弱い部分があるため、インターネットにおけるトラブルを回避することは実は簡単ではない。
インターネットの利用について、情報リテラシーという簡単で覚えられる原則を覚えて、慎重に行動していればトラブルを回避できると思う人は多いが、現実には個々の人のできることはあまり多くなく、むしろ全体としては法的制度的な保護、支援が用意されない限り、そのような安全安心な環境は実現されえないのである。
それでも、多くの人々は現在の欠陥のあるネット社会の中で生きていく必要があるわけで、そのためにはリテラシーから一歩進んだ知識を身につける必要があるのである。
この拙文をご覧になった学生諸君にはインターネット&情報セキュリティの授業の受講をぜひお勧めしたい。