セキュリティの矛盾

セキュリティの矛盾とは、N121MTが使う単語の１つであり、「良かれと思ってやりたいけどセキュリティのルールやポリシーで弾かれてしまう」現象のことを指している。　ここでは「利便性とのトレードオフ」の話を中心にしている。

概要

大学生の頃に勉強した情報セキュリティスペシャリスト試験の関係で、N121MTはセキュリティに強い関心を持っており、その時から「セキュリティのポリシーと利便性の反比例関係（矛盾）」となるものに気づいていた。
事実、セキュリティと利便性はトレードオフの関係にあるというのが一般的な話にもなっているため、この矛盾をどうやって付き合うか、どうやって向き合うかというのが永遠のテーマになると見ていた。

セキュリティの矛盾という単語を使ったのは、『OSOUP』等を手掛けただいいち！チャンネルで「視聴者へ改造機をプレゼントしたいけどセキュリティの関係で不可能だった」ということが判明し、そのことに対して使った言葉である。
この単語は「どっちも悪くないからこそこのようなもどかしい状況が起きてしまっている」という意味もあり、上記の事象についても「上げたいけど上げた時のリスクがやばすぎるのだろう」と予測している。

なお、単語的には利便性とのトレードオフ以外のセキュリティにおけるあるあるネタをすべて踏まえたトータル的な意味合いにも見えるため、『逆転検事シリーズ』に出てきた「法の限界」や「法の矛盾」に近い意味合いとして使われている。

通常の理念

OKではなくNG正義

セキュリティにおいて「少しぐらいは……」や「これは良いだろう」というのは通用せず、何から何までビタ一文OKは出さずにすべてNGからスタートするのが正義とされている。
そうした隙によって巨大なセキュリティインシデントを起こされては困るということでもあり、少しでもセキュリティを揺るがすことがあれば即刻検証するのが基本である。

会社ではセキュリティ担当みたいなものが存在しているが、そうでなくてもWindowsにおける「Microsoft Defender」のようなアンチウイルスソフトなども「アプリを起動する前にチェックする動作」がこの理念にあたる。
ドラマの『パーソン・オブ・インタレスト』でも「１つの小さなエクスプロイトによってダムが決壊するように巨大なエクスプロイトとなる」と例えた重要なシーンが存在している。

完璧なセキュリティもいずれ破られる

俗に言う「危殆化」の話であり、どんなに素晴らしいセキュリティに見えたとしても、いずれそのセキュリティを破るような何かが出てしまうという矛盾である。　これもセキュリティの矛盾の１つでもあり、さらなるセキュリティを求める必要もある。
実際パスワード方式についても「どんなに頑張ってもブルートフォースアタックで安全ではない」ということが証明され、パスワード単独ではなくユーザーが持っている携帯電話などを使った「多要素認証」を基本にしているほどである。

システム開発者はセキュリティの面においては人一倍考えなければならない点であり、よく見るととんでもない脆弱性を持ったままリリースされてしまう危険性も考慮すべきである。（実際日本でもいくつかのシステムでそういう案件があった）
また、「Microsoft Defender」等のアンチウイルスソフトの定義をかいくぐるようなマルウェアと出くわす可能性も0ではない（ゼロデイ攻撃）ということは承知すべきである。
（ただ一般の利用でゼロデイ攻撃に出くわす可能性は宝くじで大当たりを出すよりも、万馬券を買うよりも、黒塗りの高級車に追突するよりも可能性は低いと思われる）
上記に出てきた『パーソン・オブ・インタレスト』ではその「危殆化」も隠しテーマとして扱われており、実際味方になるAIとは別のAIが出現するという形が異なる「危殆化」のストーリーにもなっている。

セキュリティ性と利便性はトレードオフになりやすい

一般的にはセキュリティと便利はトレードオフ（反比例）と言われているが、技術革新によってはそうじゃないパターンもあったり、セキュリティを追求したことによって便利になった一面もあるというパターンも増えてきている。
長ったらしいパスワードを覚える覚えないが嫌になった人類は、顔や手による「生体認証」は良い例であり、それ以外にも１つのログインだけで複数のサービスへアクセスできる「シングルサインオン」なども特徴に上がる。

それでもセキュリティ性を重視すると何かしらの利便性を失うことが多く、大抵は速度などによる非機能要件の性能面が目立っている。　ただしこれもセキュリティ性を無視するリスクの方があまりにも重すぎるので無視されることもしばしばある。

攻撃されないは嘘だが自分がしてはならない

どんなシステムにもアタッカーは潜んでいる、SNSの常に戦争状態と同じように、システムをリリースした段階で攻撃されることは覚悟すべきである。　だからこそセキュリティを強くしなければならない、ということにも繋がる。
実際リリースされて数時間ほどで脆弱性を見つけるような悪意の利用者も居るため、過激な思想として「利用者全員が容疑者になりうるからならないように作る」というのも有りかもしれない。

そしてもちろん情報リテラシーの観点で、自らが攻撃者になることも許されない。　というより日本の場合はそういうことをしたら罪に問われる危険性しかないので、やってはならない。
ましてや攻撃されているシステムに野次馬に行くのも、踏み台などの餌になってしまうので離れる方が身のためである。

セキュリティに包まれた真実

自分が本当に知りたい情報がそこにあるのにそれがセキュリティポリシーや法などによって阻まれてしまう矛盾。　機密情報の管理における「need to knowの原則」がこれにあたるが、時よりその原則を破らないと真実にたどり着けないことも存在する。

ゲームなどでは『メタルギアソリッド4』のメリル・シルバーバーグや『ソードアート・オンライン』の桐ヶ谷和人がその原則を破って真実の情報にたどり着いている描写が存在する。
（ちなみにメリルは「叔父の関係だったけど実の父親だった情報」を手に入れており、キリトは「両親だったはずなのに実際は単なる養子だった情報」を手に入れている。　どちらも不正に手にしており、キリトに至っては住基ネットへ侵入した描写まである）
また不正に情報を入手して優位に展開する物語は多く存在しており、そうした情報戦は『攻殻機動隊』でもよく見られている。