衆院サイバー攻撃の記事を新聞で読んでいて、閣僚連中のコメントに愕然とした。

自分も1年前までとあるシステムのセキュリティ構築をやってたので、ある程度知識はあるのですが、結局最善のセキュリティ対策ってのはシステムを稼動させないこと、なんて冗談を半ば本気で言いたくなるほどセキュリティ対策というのは難しくて、大変。あえて言葉を選ばないなら、「やったふりをするのは簡単だけど、100点を取るのはほぼ無理」な世界。
加えてセキュリティ担当側にはどうやっても越えられない壁というのが、実はあるのだと思います。それは、ユーザー自身にセキュリティの意識が低ければどうしようもないという事実。
ユーザーは当然、セキュリティはサービス側が担保するものだと思っているのだろうけれど、たとえば簡単なパスワードを設定してみたり（どれだけ複雑な制限を課しても「簡単なパスワード」は出来てしまうし設定する人間はいる）、セキュリティの怪しいネットカフェや公共の場のPCでサービスにログインしてみたり、脆弱性の指摘されているブラウザを対策もせずに使い続けていたり、果てはセキュリティソフトを何も入れないPCを平気で使っていたり・・・
そんなサービス提供側にはどうしようもない理由で情報漏洩が起こったとして、たとえ自分の免責は勝ち取れても、顧客情報が流出したという事実は何も変わらないわけで。
個人レベルでのセキュリティ対策不備で情報が流出する事例は、あったとしても小規模（本人だけとか）に収まることが多いと想定してはいますが、それでもクレームつけられたら対応しなきゃいけないし、そんな個人の事情がサービス側でわかるかというとわかるはずもなく、たいていはシステム屋と顧客との関係が微妙になって終わることが多いようです。
幸い自分はそんな経験をしたことはないですが・・・

今回の事件でも、専門会社に運用を任せているのだから安心という意識があったのかもしれませんが、メールの添付文章を不用意に開いてトロイの木馬に感染とかお粗末にもほどがある。
メールセキュリティは、「信頼できる相手以外はみんな信用できない相手」が原則で、中間などない。知らない相手は信用できない。そう思わないとやってられないのが悲しいことながら現実だと思います。まして、今回攻撃されたのは衆院。国家機関です。
それなのに閣僚の緊張感のないコメントを読んでいると、ああ、またこういうことは起こるだろうし起きるんだろうな、と悲しい気分になりました。たぶん今日の新聞を読んだ犯人は笑ってるんだろうなぁ。多分海の向こうで。

ついでに今回の事件の関係者を見ているといろいろと言いたい事もあるのですが、いろんなあれこれに抵触しそうなのでやめておきます。
本当は最近読んだ本の感想書きたかったんですが・・・、またにします。