電子メールで、過去に何度か書いていましたが、最近の動きも含めて、若干、追記させていただきます。
現在の、今日時点における、記述とさせていただきます。それは、日進月歩、秒針分歩で、ITはめまぐるしく変わりますので、いま時点で、まずいなーと思える事も、明日には、全然まずくないかもしれませんし、現時点で、まずくない事が、明日にはまずい事に成っているかも知ないからです。
私は過去に、ZIPの暗号化なんて、すぐに解読されちゃうので無意味だと思っていました。でも、zipでもAES-256で暗号化をすると、そこそこ強力だと言う事もあるようですので、一概にzipの暗号ファイルダメだとは言えなくて、どういう暗号方式で暗号化されたzipファイルかにより、良いとか良く無いとかが別れるようです。
じゃ、zipをAES-256で暗号化してあるのなら、大丈夫なのか?と言うと、メール添付するという場合に、若干不安があります。
「漏れるの?」という部分ですが。
いくつかの理由により、漏れないと断言するのは、はばかられると思います。
なぜ? 「漏れない!」と、断言できないの? という部分ですが。
1つ目の理由
「国家間調整ができないと、法的効力は無い」
一般的に、メールの配送ルートに存在する設備は、単一の1社の資産ではなくて、不特定多数のボランティア提供されている設備です。だから、メールが経由するルートを送信者が制御できませんので、どこを経由するかは時の運です。
メールは、不特定多数の組織や、不特定多数の国家の設備を経由するので、適応される法律も、一つではありません。
どこかの国の法律では、情報漏洩は罪だとしていても、どこかの国の法律では、罪ではないとなっていることも有り得るのです。
そのため、罪ではないとなっている法律の国で、漏洩している場合、打つ手がありません。
じゃあ、メールを暗号化すればいいじゃないか!。と成ります。
2つ目の理由
「暗号化の強度とパスワード受け渡しの問題」
参考に今日見つけた、こちらの方のURLにリンクを貼らせていただきます。
(A)暗号化の強度
初期のZIP暗号化は、今ではコンピュータの進化で解読されてしまうそうです。
そこで当初のZIP暗号化より、強度の高い暗号化の、AES-256で暗号化するのが 良いと言われているそうです。
今後もコンピュータの性能は向上するでしょうし、メールに添付して、送出したデーターが、何年先まで持ちこたえるかを見定める力が、モノを言うのかもしれません。(30年ぐらいは持ちこたえてくれると嬉しいですが)。以前、SETI@HOME等で、用いられた、無数の個人所有パソコンの空き時間を統合することで、スーパーコンピュータ並みの性能に統合する技術があったと思いますが、そのような技術を用いると、予測が前倒しになるかもしれません。
暗号化の強度と、コンピュータの性能のいたちごっこですよね。
(B)パスワード受け渡しの問題。
暗号化ファイルを添付したメールを送った、そのすぐ後のメールでパスワードを送る習慣をなくす方が良いようです。何らかの別の手段で受取人さんにパスワードを伝達するのが好ましいようです。
メールが伝達する様子は、はビット単位の転送ではなく、パケット単位の転送でもなく、メールのファイル単位の転送のようです、配送ルート上にある中継設備に、メール1通分のファイルが出来きて、そのファイルがが次の中継設備に伝達されるようです。
回線レベルではビット単位で取り扱われても、ルータレベルではパケット単位で取り扱われ、メール中継サーバーではメール1通単位で取り扱われるようなので、2通目のパスワードを書いたメールも同じ中継サーバーを経由するのですが、同時にある期間存在していれば、1通目の暗号化を無意味にしてしまいますよね。
ITの仕組み(メール配送や、ルーティングや、ドメイン名解決)を判っているなら、2通目にパスワードを書いたメールを投げるでしょうか?。
その会社や、組織の恥になりますよね。しかも、恥を知らせる状態のメールがどこを経由するのか、どの国を経由するのかは時の運で、送信者は制御できないのではないでしょうか。
3つ目の理由
ソフトウェアの壁
(A)自分のコンピュータやスマートフォン等のソフトを解析できない
オープンソースソフトウェアを除いては、一般的には、利用許諾事項等に、「解析を許可しない」趣旨の条項が書いてあり、基本的には解析できません。
(B)仮に分析しても、ライブアップデートで入れ替わる。
仮に苦労してソフトを解析できたとしても、ライブアップデートでどんどん入れ替わるので、その変化に追随するように、確認作業を永続的に行わなければならず、しかも、瞬時に解析できないと、アップデートを済ませたコンピュータにOKを出してあげられない。
瞬時に解析できる技術や方法が存在するなら、デバッグとか、セキュリティーパッチとか、脆弱性の改善とか言う言葉が消えるのでしょうけど。
そうなると
いわゆるインターネットとは、少し隔離したかたちで、独自のメール配送網を、構築すると言う対処があるかとおもいます。
でも、そうしますと既存のメールアドレスには到達できない、閉じたメール配送網を、身内だけで利用する形になるのでしょう。
外部の既存メールアドレス宛てに出す場合は、既存メール配送網に出てゆくので、許可するか許可しないか判断を求められ、手間がかかります。
その他、WEBメールという、httpsと言う暗号化セッションを用いるメールもありますが、一般のメールアドレスとやり取りをするなら、上記の独自のメール配送網と同じで、既存メールアドレス宛てに出して良いのかどうか、許可するか許可しないか判断しないといけません。
WEBメールのサーバーを身内で利用する場合、gmail等の既存巨大企業のWEBメールサービスを利用するとか、自分達の関連企業が運営するWEBメールサービスを利用するとか、レンタルサーバーを借りて、自分達でWEBメールサーバーを運用するとか、自前サーバーを立てて自分達でWEBメールサーバーを運用するとか色々あると思います。
守秘義務契約をするか、しないか、声明発表されているプライバシー宣言を信頼するかどうか、等、いろいろ考えさせられる部分があります。
変な書き方になりますが、「汝IT担当者を責めるなかれ」とか、書きたくなります。
つまりそのー。
ITは今もって、発展途上にあり、めまぐるしく常識がかわりつつありますし、日々、新な進歩が積み重なり、とても、追随していくのが大変です。最近の技術だけを習得するのだとしても大変です。だから、過去の技術要素を知らないなんて、当たり前でしょう。
また、過去からの遺産部分を担当していた人が、最近の動きを捉えていなくても、そんなに不思議な事では無いと思います。
そういう状況の中で、守秘義務を厳しく求めるとか、スパイだ、なんだと、うるさく言う風潮の出現が、奇異にも見えてきます。
とても大変なITの勉強を、誰がするかですが、情報管理できつい罰則が存在したりすると、職場的にキツくなり、よそに外注するかもしれません。人材的に身近からの人材登用が出来無くなるかもしれません。
ややもすると、ITは活動の基幹部分を司り、中枢としての機能を握りますから、高度な機能を要求され、より複雑さを獲得する中で、よそからの参入ができなくなり、結果としてITの発注先が限定されやすい特性もあります。
いったん限定されると価格設定が安価ではなくなる可能性があり、それを避けるために、より多くのITベンダーやシステムベンダーが参入しやすいプラットフォームとして、オープン系システム等が重要視されて来たと思います。
オープン系システムで、より優秀な人材を得るためには、裾野を広くする必要があるでしょうから、世界中で自由に学べる環境が整備されていないと、有能な人材は、得られないかもしれません。
より良い、未来に向けて、より良いビジョンを持つ、優秀な人材を世界中に求め、私たちの未来を明るく照らしてもらいたいところです。
そのためには、どこの人が、どこで働くにしても、安心してじっくり物事に取り組める環境の整備や構築が、とても大切になるのでは無いでしょうか。
いろいろな国から優秀な人材を集めて、気持ち良く働いてもらうには、その人材に嫌われていてはいけませんし、恨まれていてもいけませんから、360度どの国とも仲良くお付き合いできていないと困ると思います。
いつも思うのですが、新しいソフトは、一般人が採用する事から始まると思います。つまりどこかの権威や重鎮の発言で流行り出すというよりは、一般の草の根てきな普及から爆発的に普及するのが多いと思います。一般の人に、高度なITスキルを求めるのは無理ですし、また、ITを駆使し企業での出世を目指す若者や野心家も多いと思います。でも新入社員さんや野心家の人がITの熟達者か?と言うと、そこに相関関係は無いと思います。というより、「よし!、俺はこの会社で出世してやるぞ!だから、今からコンピュータプログラミングを学ぶぞ!」という人は少ないと思います。
企業トップがいつの間にか、CEO,CFO,COO,CIO…..複数に権限分割されていたりするのは、とても高度な専門性が求められ、とても一人ではやっていられないという結果ではないでしょうか。
で、CIO(最高情報責任者:Chief Information Officer)に対して重い責任を追求すると、あれも駄目、これも駄目、許可が出るまでダメ、確認が終わるまでダメ、と内部統制で社員をガッチガッチに固めざるを得なくなります。
IT担当者が最新の状況にタイムリーに触れられる事と、その情報を誤解せずに、きちんと理解できることが大切になると思いますが、タイムリーに最新の状況に触れられるためには、世界中のIT担当者の情報交換が不可欠かもしれません。そして、さまざまなテクノロジーを理解できる様に常に、お互い切磋琢磨し、教え合える状況が無いと、5年も10年も後れを取ってしまいかねないので注意が必要です。
ITで機密を取り扱うには、ITに精通した人材を得ないといけないけど、ITに精通した人材を得るのは難しい。ITに精通した人を育成できないと、地球や人類の未来が、まずいかもしれない。
いがみ合ったり、邪魔しあっていたら、IT人材をどこも育成できないかもしれない。
そういう観点を基盤として、政治家を考えるときに、どのようなタイプの政治家が求められるか?。とか考えたりしますと、人間愛に満ち、地球規模の未来をきちんと考えらる人と言う、人材像が浮かんでくると思います。
そして、求められるIT人材の人材像を考えると、
馬鹿ではダメだけど、凝り固まった頭でもだめ、自由な発想で明るい未来を作ってもらいたいけど、無責任とか、他人への丸投げも困るでしょうし。
などと、思ったりします。
そう思いながら、いろいろな、ソフトやサービスの利用許諾を読みますと、「最善を提供する努力はしますが、何らの責任も負えません。それがいやなら使わないでください。」という趣旨が理解できるような気が、しないでもなくて。
でも、市民生活の隅々までITは入り込んでおり、ほぼすべての人が利用者であり、誰かがどこかで何らかの何かを被っているかもしれないし、被るかもしれない。それは誰のせい?。
考慮不足、経験不足、勉強不足、配慮不足、想定外。。。。
ITでは、考慮不足や、経験不足や勉強不足や配慮不足や想定外の何かが何れ出てくるのは、想定済み。
それら、ひっくるめて、想定内。
と言う感じなのかなーとか。
あと、品質管理とトレーサビリティーとか品質と信頼性の考え方をソフトを含むシステムや複雑系にあてはめる時に、「解析を許可されていないブラックボックス」や不確定要素や、ライブアップデートをどのように考えると良いのかがわかりません、同じWINDOWSのバージョンでも、異るグラフィックボード、異るLANインタフェース、異るDISK(SATAやIDE)で、ドライバーも異る複数のPCを同一と考えてよいのかとか、わかりません。
ここで言う信頼性とは、製造者が悪意のコードを埋めていないか?という事ではありません。
バグが無いか?、勘違いは紛れ込んでいないか?、考慮漏れはないか?というそういう観点での、想定外のプログラムミスの有無に関連する信頼性確認です。
解析を許可されていない、ブラックボックス部を含むシステムに前記のいずれかに該当する問題が、含まれ無い事を確認するには、どうしたらいいのか?という疑問です。
分からないのですが、見た目は、同じような振る舞いに見えます。微妙に違いがあるとか、あるかもしれませんけど。そしてそれは、許容できるレベルなのか、できないレベルなのか?とか。そういうこともあるのでしょうけど。
私はOpenOfficeや、LibreOffice等のフリーなオフィスとMicrosoftOfficeのどちらも使っているのですが、今日ネットを見ていましたら、LibreOfficeのcalcとMSのExcelでは、論理値(TRUE/FALSE)を入れたセルをsum関数で合計する場合に、仕様に相違があるという記事を見つけました。
🌊