「セキュリティには充分注意しましょう」なんて『丸投げ広報』で呼び掛けられても全然熱が伝わってこないのだけど・・・

こういうページを見つけた。
一般利用者のための情報セキュリティ対策-実践編
このサイトは政府がインターネット普及に伴い国民生活の安全のために、セキュリティ情報の啓蒙をする広報サイトということらしい。サイト管理者は総務省である。

これがすごい内容になっているので、是非紹介したくなった。
例えばまず「安全な無線LANの利用」について、無線LANの安全性を確保するために以下の対策が必要だとする大変わかりやすいフラッシュだ。

そうそう無線LANは暗号化もしないと外から丸見えで窓の外に
イーサケーブルを垂らしているのと同じことなんだよね
だからちゃんと暗号化してパスワードをかけないといけませんよね
最悪でもWEP程度の、本当はWPAとかの暗号化はゼヒモノです

魔法の小人たちが出てきて無線LANを暗号化しました
う〜ん、わかりやすいな〜

実際はメール自体がそんなに秘匿性が高い通信手段ではないので
メールが盗み読みできるかできないかはあまり重要じゃないのだけど
まあ、暗号化したおかげで当然無線LANからはメールは漏洩しなくなりますわな

えっ？　「盗み見はダメでもアクセスポイントは使えるぜ」？？？
あれっ？　なんで暗号化したのにアクセスポイントから不法アクセスはできるの？
ひょっとして暗号化って単にメールの本文をPGPか何かで暗号化しただけってこと？
そんな対策じゃ、無線LANの安全性なんて何も改善されていないじゃないの？
ていうか、それって無線LANのセキュリティとは全く無関係な話だし・・・
別項には「WPAで暗号化しましょう」と書いているじゃないの？
なんだか全く意味が分からないぞ・・・・（゜Д゜）

最初読んだときにはこれは暗号強度の話なのかと思った。
セキュリティの専門家と話した時に確かに
「WEPはセキュリティ強度に問題がある」
という話を聞いたことがあるからだ。
ところが別項には
「無線LANの暗号化にWPAをかけましょう」
と書いてある。WPAも簡単に破られてしまったのだろうか？
アクセスポイントとして悪用できるということは、パスワードを破られてしまっているということだし、どういうことなんだろう？

結局この説明ページを書いた人は無線LANの構造を全く理解していないということなんじゃないだろうか。暗号化って、別にメールの本文だけが暗号化されるわけではないのだが。

その別項には無線LANの安全の確保のために

１）WPA-PSK方式等による暗号化を行う。
２）MACアドレスによるフィルタリングを設定する。
３）外部の人にSSIDを簡単に分からないように設定する（推測しにくいIDにする、SSIDを見えなくするためのステルス機能を利用する）。

と書かれている。
しかし実際には安全性のために有効なのは、１）のWPAだけで暗号化がされていなければ、MACアドレスは見えているので成りすましで不正接続できてしまう。
SSIDも通常は見えないように設定されているだけで、ある種のツールを使えばステルスモードの通信も検出することはできる。
だから、この３つの対策で頼みの綱は暗号化によるパスワード設定だけなのだが、なぜかこういう説明が金科玉条のように書かれている。

（後日追記＊この総務省のフラッシュや「無線LANセキュリティ対策最低の３か条」がなにがデタラメなのかは無線LANのMACアドレス制限の無意味さがあまり理解されていない／高木浩光＠自宅の日記さんのエントリにきちんとまとまっている。こちらを参照されたい。このフラッシュは多分無理矢理「MACアドレスフィルタリング」と「ステルスモード」対策の必要性を分かりやすく説明するためにかえって変な例を引いてしまって墓穴を掘ったということなのだろう。もともと意味がないものに無理矢理意味をつけようとするから、どうやったってこういうヘンテコな説明になってしまうのはしかたがない。やはりきちんとした監修を入れないで「啓蒙サイト」を作ろうとした仕事のずさんさが出ているということだろう。
情報をいただいたSakiPapa様ありがとうございます。）

そういえばウイルス対策の実践のページには

「最近のウイルスは、電子メールを見ただけで感染したり、ホームページを見ただけで感染したりするウイルスばかりではなく、勝手にインターネットやネットワークを通じて感染するワーム型というタイプのウイルスも出現してきています。」

とワームに触れていながら、その対策は

「ウイルスに感染しないようにするためには、コンピュータにウイルス対策ソフトの導入が必要です」

とこのタイプのワームに対してもウイルス対策ソフトで効果があるかのようなことが書かれている。

本当はこの手のワームにはファイアウォールの導入がゼヒモノなのだが、そのパーソナルファイアウォールの導入のページには

「　パーソナルファイアウォールは、ウイルス対策ソフトと同様に、パソコンショップや家電販売店などで、パッケージソフトとして販売されています。なお、現在は、ウイルス対策ソフトとパーソナルファイアウォールを組み合わせた統合型セキュリティ対策ソフトとして販売されていることが多くなっています。購入したソフトウェアをインストールして、利用環境に合わせて設定を行うことで使用できます。なお、最近はOSにも、簡単な機能を持つパーソナルファイアウォールが付属している場合もあります。」

という説明になっていて、もうなんだかメロメロな感じだ。

言いたかったのは、総務省の役人の仕事がやっつけだということではなく（それもそうなのだが）、最近こういう丸投げ広報で、訳が分かっていない素人が書いた広報文が多いということを感じるということだ。

以前に「ピンホール？」にテラワロスという記事で マイクロソフト社のすばらしいセキュリティ啓蒙のページを紹介したことがあるが、
「脆弱性」
という言葉の解説で
「コンピュータのプログラムの設計の欠陥で、外部からの攻撃を受けてしまう可能性。攻撃者はこの欠陥（ピンホールと呼ばれる）をついて、コンピュータへの不正な侵入などを試みることがあります。セキュリティを強化するためには、脆弱性を修復するプログラムを更新が必要です。」
という説明を付けていて、多分「セキュリティホール」と言いたかったのだろうけどなぜかこれが
「ピンホール」
になっている。
書いたのは多分素人のライターさんなのだろうが、問題はMS社の技術がわかる人が誰も校閲をしていなくて、その思い違いがそのまま載っていて、しかももうこの記事を書いた時から半年も経っているのに、いまだに訂正されないで
「ピンホール」
のままになっているということだ。

これは単なる誤字脱字の話ではないだろう。要するにちゃんと理解している人が誰もチェックしていないということが問題なのだ。
これでは他の情報の信頼度も著しく下がってしまう。

このことに関連して、最近面白い体験をした。
ある買収ファンドの取材申し込みをしたところ、先方の日本法人の責任者と担当者からは快く承諾をいただいたのだが、
「インターナショナルに広報をアウトソーシングしている会社があるので、そちらでまず許可を取ってくれ」
という話になった。
そこに話を申し込むと、実に細かい本筋とはあまり関係が無いようなことを根掘り葉掘り訊かれて、意味不明の講釈を散々聴かされた挙句に
「誤解されるくらいなら、何も語らない方がましだという結論になりかけている」
というような雲行きになってしまい、大変往生したことがあった。

このインターナショナルに広報を丸投げされている会社は、そういう立場だから当然米国本社の顔色だけを伺い、事なかれ主義で買収ファンドの日本法人が快諾しているにもかかわらずこの話を握りつぶそうとした。
「失敗するくらいならゼロの方が良い」
という考え方からだ。
彼らがどういう気分で仕事しているのか、思い知らされた。

丸投げ広報のアウトソーシングというスタイルは最近非常に増えてきている。
企業の合理化ということを考えれば、この手間がかかるセクションを外注してしまえば、社内を多いに合理化できるということなのかもしれない。
しかし、事情が分かっている広報が外されて訳が分かっていないシロウトさんが丸受けで、意味不明の広報文を垂れ流しているという実例を非常に目にする。

上記の総務省のサイトだって、総務省の役人がどいつもこいつも無線LANの仕組みが分かっていないヤツばっかりではない筈だが、こういう国民向け啓蒙サイトはそんなに重要な仕事でもないので、そういう職員を当てるのではなくライターを抱えた業者に丸投げした結果、こんなページができてしまったということだろう。

抽象的なことを書いていても分かりにくいのでひとつ実例を挙げる。

ずっと以前からシマンテックのプレスリリースを受け取っているのだが、このリリースの内容が最近とみにつまらなく、無内容になってきている。
以前は、シマンテックのプレスリリースは、緊急のウイルス流行情報や、Windows、Mac、Linuxなどのセキュリティホール関連の緊急情報を流してくれて、非常に重宝していた。
また年に数回、パソコンユーザのセキュリティ意識アンケートや、ウイルス流行発生件数、ウイルスタイプの内訳の調査データなどを送ってくれて、とても役に立っていた。

ところが昨年あたりからだろうか。
シマンテックの広報も、インターナショナルで依頼している代理店に丸投げになってしまい、シマンテック社自体には、広報部という機能は無くなってしまった。
するとこの代理店から送ってくるリリースの内容が、
「シマンテック社は◯月◯日に新製品を出します」
「シマンテック社は◯月◯日にアップデート製品を出します」
「シマンテック社は◯月◯日に統合製品を出します」
という内容のリリースばかりになってしまい、前のような内容濃いリリースは全く無くなってしまった。

しかたがない。
これも素人のライターさんが書いているので、多分ウイルス情報なんかには全く興味が無くて
「それよりもシマンテックの新製品をアピールした方がいいだろう」
ということになってしまったようだ。
おかげで実に細かい、どうでもいいような製品情報を送ってくれるがここからはネタを拾えなくなってしまった。
今、シマンテックからのメールを迷惑メールフィルタに登録しようかどうしようか考えているところだ。

これほどまでに丸投げ広報は、世界に広く害を垂れ流しているのになぜ誰もそのことに不満も批判も言わないのだろうか。
こればっかりは本当に不思議だ。
なんだか名指し批判になってしまったが、本当になんとかしてもらいたいと思っているのだ。
ご容赦願いたい。