昨日の駄文が結構多くの人の目にとまったらしく、嬉しいやら恥ずかしいやらという状態なのだが、人並みに自己顕示欲くらいはあるので、もう少し駄文を書いてみようと思う。

少なくとも昨日の駄文よりもさらに駄文なので、おヒマな方どうぞ。 あと、あくまでも個人の雑感なので、どういう感想を持っていただいても構わない(当方は感知しない)が、気に入らないなら「華麗に」スルーしてください。

ちなみに、私も「部外者」なので、もちろん「天に向かって唾を吐いている」事は自覚がある。自分に対する戒めも兼ねて。

さて、年金機構の問題に関わらず、今の日本はこの種の「華麗にスルーする」というスキルが無くなって来ている気がしている。 ちょっと何かあると、反射的に「非難」の意見を匿名（と思しき）方法（twitterや2ch等）で無造作に表明する。 その意見表明は、多くの場合、「非難」であって「批判」になっていない。 年金機構の問題で云っても、「そんな不審なメールを開くのが悪」的な意見を表明する方々が非常に多い。

はっきり言うが、この種の非難をしている人の多くは「不審なメールは誰にでもわかるものである」という「とてつもなく大きな誤解」をしているようにしか見えない。

10年前ならいざ知らず、今時のこの種の攻撃（の一部）は、「不審メールと思えない」ような精度で実施されている。 一部の「セキュリティ知識を十分に持つプロフェッショナル」ですら引っかかる事があるようなレベルである。 要するに、今回非難している方々の、おそらく、ほぼ100%近くが、まともに攻撃を受けたら引っかかるようなレベルのものである場合があるということ。 しかも、このレベルの攻撃なら、引っかかった時に「引っかかったと認識できない」レベルであると言える。

ただし、今回の年金機構に来たメールがそのレベルのものだったかどうかは寡聞にして知らない。そのレベルのものであっても全く不思議はないし、逆に「こんなモノに引っかかったのかよ」レベルであったかもしれない。 ここで言いたいのは、そういうレベルの攻撃が、もう普通に行われているということ。

ここで、「セキュリティ知識を十分に持つプロフェッショナル」の方々が違うのは、

• 引っかかったかどうかを判定するための判断材料の収集を「自動化」している・することができる
• 引っかかった可能性が高いと判断した時に、最小限何を行うべきかを熟知しており、そういう行動をそれこそ反射で実施する
• 実際に引っかかったかどうかを調べるための手段を持ち、その手段を適切に取ることができる
• 引っかかった時の影響範囲を（大まかにでも）想定でき、どうすればよいかを判断できる
• 引っかかった時の被害を最小限に抑えることができる
• 最終的に何が起こったと考えられるかを他人に説明できる

ということ。

つまり、「セキュリティ知識を十分に持つプロフェッショナル」は、技術力があるかどうかではなく、何をどうすればよいのかを正しく認識しているのである。 もう少し言えば、「どこまでを自分で判断するか」、「どこからは他の力を借りるか」を想定し、判断することができる人のことをいうのである。

このような判断（作業）を普通のように行える人は、情報を「効率よく」収集し、自分の判断を素早く行えるようにする努力を「継続的に」実施している。（むしろ、すでに努力ですらなく、習慣化している状態かもしれない） 従って、反射的な反応はあったとしても、入手してくる情報によって常によい方向にフィードバックをかけ、正しい方向に修正することができるし、その修正速度も非常に早い。

さて、反射的に「非難」するだけの人。 この種の人たちは、「自分の仮説」や「自分の思い込み」に都合のよい情報を収集するのが非常に早い。その上で、一度自分が建てた仮説にしがみつき、その仮説が間違っているかもしれないという事を受け入れず、指摘された場合過剰反応するというループを繰り返す。

さて、よく考えると、「セキュリティ知識を十分に持つプロフェッショナル」が実行している事は普通の人にだってできる「はず」の事である。 （よく見てほしいが、「セキュリティのプロ」の話をしているわけではない。）

もちろん、「セキュリティ知識を十分に持つプロフェッショナル」と同じ位の速度・同じ位の精度で実施することは難しい。 しかし、時間や精度は知識や経験で、より短く・より高くなっていくものである。 そのために必要なのは、

• 「ちゃんと考えておくこと」、つまり事前の準備
• 「時々でいいから」継続して見直すこと

くらいのものである。

問題は、「継続的に」情報を集める事と、集めた情報を以って、自分の仮説・思い込みを「適切に修正し続ける事」が難しい事である。
前者の難しさは、「習慣的に」実施できるようになるための努力が続かない（自分がまさにそう）こと。
後者の難しさは、自分の間違いを認めることに対する「不快感・恥ずかしさなどに対抗する」ことが心理的に難しいこと。
特に（個人的には）後者の問題が非常に大きい。

しかし、もう、反射的に「非難」して憂さ晴らししていられる状況ではなくなってしまったと思う。

日本では、すでにインターネットは一般に普及し、大多数の人がすでにインターネットをなんらかの形で利用している。もうすぐ、マイナンバーも施行される。GoogleやAmazonに限らず、e-Commerceなどでは、購買履歴などの情報も蓄積されているだろう。さらにはIoTなど、世の中を変えていく技術がどんどん出てくる。

そういうときに、「利便性をできる限り損なわず、可能な限り安全に」インターネットを利用するにはどうするべきか。 非難して憂さを晴らしている場合じゃないし、他人が護ってくれるという幻想は捨てるべきだと思う。

結局、いつものとおり、まとまりのない駄文であるけど、最後に一言。

なぜか日本では、水に落ちた犬を叩く事で何かした気になる人が多すぎる気がします。明日は我が身という事を本当に考えるべきです。
水に落ちた犬に手を差し伸べるような社会の雰囲気とセキュリティ運用が望まれると思います。

以上、駄文でした。

ここで僕が言いたかったことの半分くらいを端的に表現している言葉に出会ってしまって、大変に悔しいんですが、こちらに引用しておきます。

セキュリティ事故も技術も人を貶めるためにあるんじゃないってことですね。

はい。本当にそう思います。