気がついたら、わたしが持っている「情報セキュリティ管理士」という資格の有効期限が切れていたことに気が付いて、更新のための研修(オンライン)を受講しました。
最短突破 情報セキュリティ管理士認定試験 公式テキスト [ 五十嵐 聡 ] 価格:3058円 |
この資格があろうとなかろうと、わたしの仕事への影響はまったくないのですが、研修を受けることで、何らかの情報セキュリティのトレンドを得られるかもしれない期待がありました。
研修では、知らなかった情報もあったので意味はあったのですが、わたしがいちばん「へえ~」と、思ったのは、セキュリティの最新動向ではありません。
研修のなかの「情報セキュリティの歴史」という章で、情報セキュリティのインシデントの起源をバブル崩壊(1991年)と位置づけしていたことです。
バブル崩壊をきっかけとして、離職した社員が会社の持つ個人情報を持ち逃げして、名簿業者に売り渡す事例が多かったとのことです。
歴史をみるときどこを起源とするかは、いろんな考えがあります。正解はありません。
たとえば、アメリカの歴史のはじまりは、1776年の独立宣言(イギリスによって統治されていた北米13植民地が独立したことを宣言する文書の採択)という印象があります。でも、1492年にコロンブスが新大陸に到達した時点をアメリカのはじまりとしてもなんら不思議ではありません。さらに、コロンブスの発見以前も、この地域は アメリカ・インディアンに総称される先住民族が住んでます。先住民族には多様な文化があります。ですので、そこからアメリカの歴史を捉えることも意味があります。
で、、情報セキュリティに話を戻すと、わたしのアタマのなかでは、情報セキュリティの歴史のはじまりは、バブル崩壊より10年先の2000年に起きた「IT革命」という捉え方をしてました。
もちろん、情報セキュリティも歴史をさかのぼっていくと、はるかむかしにたどり着きます。
古代ローマの時代は、「カエサルの暗号」という暗号のはじまりがあります。この暗号は、古代ローマの有名な指導者であるシーザー・カエサルが使ったことで知られてます。
カエサルの暗号は「換字式暗号」と呼ばれます。これは、アルファベットの文字を3つ後ろの文字に置き換えたものです。
「暗号化」は、情報セキュリティのインシデントを防ぐ手段です。ですので、古代ローマを「インシデントのはじまり」としてもいいと思います。
しかし、企業として機密情報や顧客情報を守ることを「情報セキュリティ」と捉えると、わたしのアタマのなかでは、インターネットが爆発的に普及した 2000年です。
たくさんの会社がこの年を契機として、ホームページを作ったり、そこに自社で取り扱っている商品をネットで販売するなどの活動をはじめました。
そのとき、作られたWebコンテンツは、情報セキュリティへの配慮が足りないアプリケーションが粗製乱造されました。
その例として、HIDDENフィールドの誤った使い方です。
HTMLの入力フォームでは、HIDDENフィールドを使用することがあります。HIDDENフィールドを使用すると、Webブラウザで表示されません。画面上には表示されないが、サーバー側で利用する必要がある情報がある場合、HIDDENフィールドを使用することがあります。
その特性から、HIDDENフィールドを使って商品の価格などを画面に表示させずにサーバー側に受け渡す用途で使われます。
ただし、HIDDENフィールドの内容はWebブラウザに送信されていて、HTMLソースを表示すれば誰にでも参照可能です。
ですから、本来であればこの値に重要な情報は入れてはいけません。
password で hiddenを使うと、パスワードが漏れてしまう可能性が大です。
2000年初期のWebサイトは、こういうセキュリティへの基本的な配慮が足りないコンテンツが結構ありました。
JPCERT/CCの資料を見ると、情報セキュリティのインシデントが2000年から急激に増加したことが読み取れます。
インターネットの活用が拡大することと、情報セキュリティのインシデントはコインの表と裏の如く、関連します。
IT革命が叫ばれた 2000年こそがインシデントのはじまりと、わたしは思っていました。