墜落日記 - 2008年11月9日の墜落

システムデザインとセキュリティリスク ――― Google マイマップの失敗例に学べ

最近、Google マイマップで意図せぬ情報公開事故が相次いでいる。
「つい、うっかり」で済んでいればよいが、未だ気付いていないだけで重大なセキュリティリスクを招いている可能性は否めない事実だ。
「つい、うっかり」で個人情報の大量流出事故を招き、今まで築き上げた信頼関係を瓦解させ、タダでさえ低迷している株価を暴落させたあげくに会社倒産なんてシナリオも夢物語ではない。

顧客情報を扱う営業担当者など外回りの要員を抱えている会社は、Google マイマップの利用に関する注意を全社展開すべきだ。
もちろん Google マイマップの利用禁止を業務命令として出してしまってもよい。
その程度のリスク管理は必要だ。
企業の情報システムを預かる部門には早急な対応が求められよう。

どうしてこの様な事態に発展してしまったのだろうか？

自分は、この事件を受けて利用者側に「非公開にしていないお前が悪い」と言い切るのは些か以上に暴論だと考える。
今回の問題は Google が利用者層の想定を間違えた、ないししていないことから発生したシステムデザイン上のセキュリティリスクだと考えるからだ。

さて、Google マイマップの機能は Google の想定としては「全世界のユーザーと情報を共有する」ことを目的としている。
むしろ「非公開」の機能の方がオマケであり、基本ポリシーとしては「公開」となっている。
システムだけで見た場合、この判断も当然あり得る。
Google の今までやってきた基本ポリシーとも逸脱しない。

しかし利用者層の想定を間違えるとこれは重大なセキュリティリスクとなる。

何度も言うが、Google は学生気質のベンチャーが急成長してしまった企業である。
その母体も学生だ。
しかもよりにもよって技術系の学生なのである。
彼らの想定する利用者層は、無意識のうちに技術者寄りになってしまっていると考えられる。

そうすると現実的な利用者層との間に乖離が生じる。
現実の利用者層はインターネットのセキュリティに疎い。
掲示板に電話番号を書き込むわ、住所を書き込むわ、とにかく我々技術者から見れば「馬鹿か？　お前は？」というような連中が大多数だ。
個人情報を公開すれば全世界から見えてしまう危険性を認識していない。
もちろん、そのような教育も受けていないし、教育する側もそのような教育が出来るだけの認識がないのが実情だ。
それが現実的な利用者層の実態である。

Google は利用者層の想定を、自分達の基準である技術者視点に無意識に限定してしまうことで、現実的な利用者層との間で重大な齟齬を発生させてしまった。
そしてその齟齬が Google マイマップのシステムデザインに影響してしまっている。
つまり、Google マイマップに設定した情報の基本ポリシーが「公開」であるシステムデザインその物がセキュリティリスク―――いや、セキュリティホールであるのだ。

Google のシステムデザイン全般に言えることだが、基本的にインターネットに忠実である。
だがそれは、黎明期のインターネットだ。
一部技術者、学生などだけが利用でき、性善説がまかり通り、悪者が居ないインターネットである。
学生の脊椎反射で何かやっても、回りは何も言わないで許してくれる、そしてそれが大きな問題になることもない、そんな世界である。

しかし現在は違う。

インターネットの利用は拡大し、もともとあった性善説は通用しなくなった。
性善説を前提とした SMTP はいいようにスパム業者に悪用され、DNS はそれ自体がセキュリティホールとなった。
利用者は「インターネット？　どこ行けば買えるの？」とでも言わんばかりの初心者ですらない一般人であふれかえっている。

そのような現実を前にして、未だに一般の利用者に高いセキュリティ意識を問うようなシステムデザインをすること自体がセキュリティリスクである。

Google は本質的にそれに気付いていない。
もし Google 社内にその現実に気付いている者がいたら―――つまりまともな社会経験のある技術者がいたら―――基本ポリシーが「公開」となるシステムデザイン自体に疑問符が付いていたはずである。
だが、Google にはその当然あるべき自制がない。

Google 自体が既にセキュリティリスクであるとする自分の論拠を更に固める結果となった。

さて、Google マイマップを槍玉に挙げたが、これは Google マイマップに限ったことでは当然ない。

例えば、企業の社内システムを長く作ってきた人間が、突然に公開システムのデザインをすると同様のことが起きるかも知れない。
社内システムであれば、利用者の想定は簡単だ。
そして統制も情報展開も簡単である。
しかし公開システムだとそうはいかない。
外の世界というのは、社内システムでは想定外である「普通やらねぇだろ、そんなこと！？」という事態が普通に起こってしまう世界である。

利用者層の想定とそれに繋がるシステムデザインは、Google マイマップのようにセキュリティリスクを容易に発現させる場合がある。
システムデザインを行う際、我々は自分が無意識に固定的な想定を持っていないか、自分に都合の良い前提条件を勝手に想定していないか、よく考えなければならない。
そうしなければ、今度は我々が世界にセキュリティリスクをばらまく立場になりかねないのだ。

我々は Google マイマップの失敗例を元に自戒せねばならない。