ヒューマン・クリプト

暗号問題で、人間のファクタによって左右される部分の総称。どんなにコンピュータ・システム側で技術的に素晴らしいプロテクションをしても運用している人間がズルをすると何の意味も無くなる。つまり、全体の暗号システムは運用する人まで含めて考えなければならない。そして、人間のファクタが入ってこそ暗号化は完結する。また、似た言葉に「ヒューマン・エラー」と言う言葉がある。技術だけではどうしようもない部分、とくに人間のファクタの部分があることを忘れて、技術部分だけで検討すると大きな落とし穴に落ちる。とくに最近、個人情報を管理しているプロバイダや銀行等が管理する人があいまいな管理方法をしていたことから流出し、ホームページなどで公開されたという事故をよく聞く、これらは管理する側のヒューマン・クリプトに問題であったといえる。また、東京大学生産技術研究所の今井秀樹教授が提唱している、安全な要素技術を使っているから安全という機械だけに頼る考え方ではなく、人とコンピュータ、人とネットワークの関わりの部分における暗号技術、またこのような部分における情報セキュリティ技術の総称として「ヒューマン・クリプト」という言葉が使われるようになり、人とコンピュータ・システムをセキュリティ面から総合的に最適化するための技術として使われている。ただし、「ヒューマンクリプト」という考え方を開発メーカーに弁解の方便として利用される可能性もある。米国の労働省が本来、米国東部時間1998年11月6日午前に発表される予定であった雇用統計のうち雇用者増に関する情報が、1998年11月5日午前に民間アナリスト向けにインターネットで提供しているデータの中に誤って混ざり、情報はまたたく間に市場を駆け巡るという人的なミスが起こった。労働省ではいったんデータを消したが、既に多くの人が見ていたため、再び掲載して雇用統計全体を1日繰り上げて発表した。また、島根県が県の紹介や観光案内を掲載しているホームページの一部が1998年11月26日に通常とは異なる内容になっていることを職員が発見し、不正アクセスがあったのではないかという事で一時閉鎖され、メンテナンス会社が調査した結果、庁内システムとインターネットの間の通信を制御するプロキシー・サーバーの不具合が原因で県庁内だけで異なるように表示され、一般のユーザーは通常の内容で閲覧できたことが判明した。American Business Research Corporationは1999年10月20日に、データ喪失被害の主因はウイルスより、人的不注意による削除が多く、被害額年間150億$になるという調査報告を発表している。1999年11月16日に担当者が取引終了30分前に大急ぎでソフトウェアをアップグレードしようとしたため、NASDAQのシステムがダウンし、17分間投資家たちは株を買うことも売ることもできなくなるという事故が起こった。警視庁公安部の調べで、富士通の下請けとしてオウム真理教(アレフに改称)関連のコンピュータ・ソフト会社が開発したルーター用ソフトを防衛庁が導入し、さらに同コンピュータ・ソフト会社が開発した販売、人事、顧客管理やクレジット暗号化システムなど100種類のソフトをNTTをはじめとする約90の官公庁や企業が導入していたことが判明し、2000年2月29日に発表された。この事件も、そのほとんどが直接開発者をチェックしたのではなく、大手企業という名前に踊らされ、実際に開発する下請け業者を知らなかったことが原因である。最近、SOHOという言葉を公官庁でも耳にするようになり、SOHO育成予算などを大蔵省に請求しているが、その実体はSOHOの隠れ蓑を着た大手企業が予算をかっさらい、SOHOの独自性を剥奪している用であるが、これからはSOHOに直接仕事を依頼する姿勢が求められることだろう。米国国防総省(DOD/Department Of Defence/ペンタゴン)によると、CIAの元長官John Deutchは1990年代半ば国防総省の副長官在任中に付けていた、機密情報も含まれている日誌の保存に使用していたフロッピーディスクをシャツのポケットに入れて持ち歩いていたが紛失し、また、CIA長官時代にもメモリーカードに日誌を保存しており、それも紛失していた。その後、メモリーカードは発見されたが、フロッピーディスクは未だ発見されていないという。国防総省は、しばしば自宅のコンピュータでインターネットに接続していたJohn Deutchの自宅のコンピュータにセキュリティ・システムをインストールするよう求めたが、John Deutchはその要請を拒否していた。John Deutchは2000年の初めに謝罪し、2000年2月から国防総省も捜査に着手した。CSI(Computer Security Institute)は2001年5月12日にCSI/FBI Computer Crime and Security Survey 2001を公開し、セキュリティ侵害の93%の原因は人為ミスで、その中でセキュリティ管理ミスは49%であることを発表した。詳細情報はURL(http://www.gocsi.com/)で知ることができる。米国のニューヨーク証券取引所(NYSE)では2001年6月7日にソフトのアップグレード作業を行ったところ、翌日の8日に立合場の半分の機能がダウンしていたため、取引が一時全面的にストップするという事態が発生した。カリフォルニア州で消費される電力の75%を送電しているCalifornia IndepENDent System Operator(Cal-ISO/カリフォルニア州送電網システム)の2つのWebサーバーにクラッカーが侵入し、コントロール権を奪ったことが2001年6月12日に判明し、その後調査した結果として、セキュリティ管理者のちょっとしたミスによって起こっていたことが報告された。このクラッカーが大災害を起こす可能性まであったことから、ヒューマン・クリプトの危険性を再度確認した。また、米国では教育目的で、セキュリティ情報サイトで、ハッカー情報やハッキ ング情報などを提供しているOnline上にあるAntiOnlineが登場した。詳細情報はURL(http://www.antionline.com/)で知ることができる。警察庁はアクセス制御機能に関する研究開発状況調査をURL(http://www.npa.go.jp/hightech/accesscontrol/index.html)で公開している。また、不正アクセス対策に関する報告書はURL(http://www.npa.go.jp/hightech/fusei_ac4/index.html)で公開している。米国のGAO(General Accounting Office/米国連邦会計監査院)は2002年5月30日に発表した米国国防総省の無駄使いをレポートした「DOD Contract Management: Overpayments Continue and Management and Accounting Issues Remain. GAO-02-635, May 30.」を2002年7月1日に公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-02-635)で知ることができる。米国のGAO(General Accounting Office)は2002年11月19日に、コンピュータ処理されたデータで公開できる情報の査定をレポートした2002年10月1日の情報「Assessing the Reliability of Computer-Processed Data. GAO-03-273G」を公開した。また、コンピュータ・セキュリティの進化にともなう連邦政府に対する批判と、リスクによる賛成の意見を調査したレポート「Computer Security: Progress Made, But Critical Federal Operations and Assets Remain at Risk. GAO-03-303T, November 19」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-273G)または、URL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-303T)で知ることができる。米国のNCES(National Center for Education Statistics)は2003年3月31日に、教育関連のセキュリティ・レポート「Weaving a Secure Web Around Education: A Guide to Technology Standards and Security 」を公開した。詳細情報はURL(http://nces.ed.gov/pubsearch/pubsinfo.asp?pubid=2003381)で知ることができる。経済産業省は、経済産業政策局長の私的研究会として、2002年12月から6回にわたり「リスク管理・内部統制に関する研究会」を開催し、検討を行い、パブリックコメントの結果も踏まえ、「リスク管理・内部統制に関する研究会」報告書概要、「リスク管理・内部統制に関する研究会」報告書本文を公表した。米国のGAO(General Accounting Office/米国連邦会計監査院)は2003年7月31日に、銀行、家、市街地などで求められる一般ユーザーの個人情報の入手後の処理、エラー情報の管理などとそれらの流れについて、Richard J. Hillmanが実施した実験結果報告「Consumer Credit: Limited Information Exists on Extent of Credit Report Errors and Their Implications for Consumers, statement for the record by Richard J. Hillman, director, financial markets and community investment, before the Senate Committee on Banking, Housing and Urban Affairs. GAO-03-1036T」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-1036T)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年6月3日に、管理者、技術、情報、政府間の関係および国勢調査小委員会の前に、Robert F. Daceyが公開したソフトウェアのパッチ管理プロセスににおいて、ずさんさが表面化したレポート「Information Security: Agencies Face Challenges in Implementing Effective Software Patch Management Processes, by Robert F. Dacey, director, information security, before the Subcommittee on Technology, Information Policy, Intergovernmental Relations, and the Census, House Committee on Government Reform. GAO-04-816T」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-816T)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2005年3月24日に、証券取引委員会が実施した財政的機密のデータの情報セキュリティに関するレポート「Information Security: Securities and Exchange Commission Needs to Address Weak Controls Over Financial and Sensitive Data. GAO-05-262」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-05-262)で知ることができる。