⸻  Privacy and Personal Data  ⸻

ソリューションの多様性による防御?

2018-12-26 14:08:40

自動化された攻撃は,攻撃対象の選択においても,攻撃の成功率においても,攻撃の被害の広がりにおいても,当該機器やソリューションの普及度と正比例する関係が成立する可能性が高い。 / それゆえ,広く使用されている機器やソリューションを使用しないことは,防衛の一部となり得る。

自動化されたサイバー攻撃

脆弱性はどういうシステムにもあるので、同じシステムが広く普及すると、攻撃方法が一つ発見されるだけでも大規模な範囲のシステムが高いリスクを負うこととなる。したがって、誰もかれもが Facebook を使っていると、ひとたび Facebook に何かプライバシー漏洩の欠陥が見つかれば、原理的に全ての利用者の情報が悪用される恐れがあるということになる。これはこれで理解できるのだけれど、それぞれがマイナーなサービスやアプリケーションや機器を使えばいいのかというと、それは一定の限度があると思う。なぜなら、やはり運用している事業者が小規模になればなるほど、全てそうだと言っているわけではないが、コンプライアンスについての社会的な圧力も弱いために遵法意識のない、あるいは単に法律に無知な経営者やソフトウェア・アーキテクトがシステムを設計し、実装し、事業として展開する傾向があるからだ。これは、多くのベンチャー(もちろん僕の所属する会社も含めて)にとっては気の毒だが事実である。よって、あまりにもマイナーな事業者の製品やサービスを利用すると、登録した情報や通信によって提供しているデータの使い方に全く信用が置けない場合が多い。夏井さんがどういう decentralization を想定されているのかは分からないが、現実には10社以内での寡占状態くらいしか望めないと思う。

同じことは、MarkupDancing で OpenID を取り上げたときにも考えたことだ(もう10年前になるのか)。OpenID の IdP は、実際には寡占状態でしか適正に運用できないし、寡占状態というていどの規模でお互いに牽制する力や資本関係が維持できるような企業でなければ、すぐに資金が底をついて登録情報がどうなるか分かったものではない。実際、OpenID の IdP サービスは、僕が調べた10年前には 87id.com, alwaysknowas.com, atlassian.com, beemba, Cliqset, FUPEI, GetOpenID, idmobs, idpia.com, isOpenID, loatt.net, myvidoop, regged.de, videntity.org, VOX, そして大手では VeriSign がプロバイダを運営していたが、これらは全てデッドプールになり、登録したパーソナル・データもどうなったのか全く分からない。いま、実質的に OpenID 系列の規格でアイデンティティを他のサービスにも連携できているのは、Facebook と Google と Twitter くらいのものだろう。

冒頭に戻る