(これまでの増井俊之の「界面潮流」はこちら)
ISO(国際標準化機構)/IEC(国際電気標準会議)のGuide 51という規格(規格に安全面を導入するためのガイドライン)では、安全とは「受け入れ不可能なリスクがないこと」と定義されています。ここでいうリスクとは「利を求める代償としての危険」のことで、自然災害のような受動的な危険はリスクと呼びません。富士山は噴火する危険はありますが、噴火するリスクがあるとは言いません。電話やネットのように便利さを求めるものにはオレオレ詐欺にひっかかるリスクがあったりすることになります。つまり、能動的な行動にリスクはつきものですが、リスクが充分小さいものは安全であると数値的な解釈ができることになります。
このように安全は客観的に定義が可能ですが、安心は主観的なものなので、必ずしも安全さと安心感は比例しません。例えば、化学物質には安全なものもそうでないものもありますが、危険度と関係なく、なんとなく食品添加物は心配な気がしたりするものです。一時、ダイオキシンが危険だという話が毎日のようにマスコミで話題にされて人々の不安をあおっていましたが、実はダイオキシンの毒性は大したことはないということが定説になった現在でも、マスコミはそういう報道をしていませんから、なんとなく「ダイオキシン=超危険」だと思って心配している人が多いと思われます。
逆に、まったく安全でないのに安心して使われているものも沢山あります。安物の鍵は専門家なら簡単に開けてしまうことができますが、鍵がギザギザしていればなんとなく安心感を感じてしまうものです。自動車は大変危険な乗り物ですが、自分だけは大丈夫だろうと勝手に安心して沢山の人が毎日利用しています。
計算機の安全と安心
計算機を利用するうえでも、安全度と安心感がずれているものは多いと思われます。多くの人がパスワードを毎日のように利用していますが、安心だと思って使っているパスワードの多くは全く安全ではありません。一方、公開鍵暗号を用いたPKI(公開鍵基盤)は原理的には非常に安全なものですが、原理や安全性を理解していない普通の人は、別に安心して利用しているわけではなく、なんとなく安全なのだろうと思って使っているにすぎませんから、昔よく見かけた「オレオレ証明書」でも平気で利用していたものです。安心感を得るために電話番号やメールアドレスを秘密にしている人は多いですが、こういったものは公開してもそれほど危険なわけではなく、公開することのメリットとリスクを比較すると、必ずしも秘密にすることは得でもないかもしれません。
安いネットブックなどの登場により、誰もが気軽にどこでもパソコンを利用するようになってきました。パソコンを持ち歩くことが危険だと思っている人は少ないでしょうが、パソコンを外で使うことは最近は非常にリスクが大きいと思われます。Web上のサービスにブラウザからアクセスするとき、パスワードを毎回入力するのは面倒ですからログインIDとパスワードをブラウザに覚えさせているユーザは多いでしょう。この機能は便利ですが、パソコンを盗まれたり他人に使われたりすると、簡単に本人になりすましてしまうことができてしまいます。
また、公開鍵暗号を利用するsshでリモートサーバにアクセスするとき、秘密鍵は自分のパソコンに保存されますが、パソコンを盗まれたり勝手に使われたりして秘密鍵が他人の手に渡ってしまうと、誰でもサーバにアクセスし放題になってしまいます。秘密鍵というものは本来は厳重な管理をしなければならないはずのものですが、ネットブック内に置いてある秘密鍵ファイルの重要性を理解しつつ注意して利用している人は多くないような気がします。ノートパソコンを何台も持っている場合、すべてを厳重に管理することは困難でしょう。
また、不幸にしてパソコンを盗まれてしまった場合、それに気付いても、すぐに対策をとる方法が充分用意されていません。あらゆるサービスから退会するかパスワードを変更しなければならないことになりますが、莫大な手間がかかりますし、盗んだ人物に先にパスワードを変更されてしまっていたらかなり面倒なことになります。クレジットカードを紛失して悪用された場合にはカード会社に保障してもらうことが可能ですが、パソコンを紛失して悪用された場合には全く保障がありません。盗まれたことにに気付いた場合はまだ良いのですが、秘密鍵を盗み見られた場合、それに気付かないことも充分考えられますから、被害が更に甚大なものになる危険もあります。
誰もが安心してノートパソコンを持ち歩いて利用している現在、そのリスクはかなり大きくなっているように思われます。
安全で安心な計算機をめざす
人間は、次のような要件を満たすものに安心感を感じると言われています。
- 理解できるもの
- 慣れたもの
- 親しみのあるもの
- 歴史を経たもの
未知なものや理解できないものは不安を呼びがちであり、安心するためには理解や長年の運用が必要だということになります。
パスワードの原理は理解しやすいですし、様々なシステムで長年運用されていますから、ユーザにもシステム管理者にも安心して利用されています。しかし実際は、単純なパスワードは強度の問題で安全ではありませんし、複雑なパスワードは運用の問題で安全ではありません。
一方、複雑な原理にもとづく認証システムは前述のような要件を満たしませんから、安全であっても安心感が感じられないことになります。
例えば公開鍵暗号の場合、安全であると言われても、安全さを直観的に納得することはほとんど不可能です。鍵が公開されているのに安全だと主張するのは、鍵穴を公開しておきながら鍵は作れませんと言っているようなものですから、普通の人ならば安全性を疑うか盲目的に信じるしかないことになり、いずれにしても安心感を持つことはできません。
また、最近流行しつつあるOpenIDやOAuthのような認証手法の場合、便利で安全な方法を提供したいという意図はよく理解できるのですが、利用において安心感があまり感じられません。そもそも原理が簡単ではないので理解するのが難しいですし、Aというサービスプロバイダで登録したOpenIDをBというサービスで利用しようとしたとき、Bを利用しているにもかかわらずAのログイン画面が出るというのは心理的に気持ち良いものではありません。
今井秀樹氏は「ヒューマンクリプト」という考え方を提唱しています。ヒューマンクリプトとは、システムと人間を総合的にセキュリティを考えるという概念で、人間が安心できる方式、安全性を評価する技術などを重視しようというものです。これはとても重要な概念だと思いますが、残念ながらこういう方向の研究開発はまだあまり盛んではないようです。
絶望先生は、Suica改札を通ったとき、あらゆるカードがスキミングされたと思って絶望していたものです。寺田寅彦は浅間山の噴火を見ながら物事を正当にこわがるのはむずかしいと述べています。
人間の心理についてよく考えつつ、安全と安心を両立させる技術を追及していく必要がありそうです。