4月に行われた第1回に引き続き,第2回が開催されたので,皆勤賞を継続するべく参加した.今回は参加するので精一杯で,ほとんどROM状態でした.いや,じゃぁ前回は活発に議論したのかと言えば,そうでもないorz.今回は大学所属の方が4名いらっしゃったので,ボクが沈黙しててもきっと大丈夫(他人任せ).
主催の@akirakanaokaさんがまとめをされるとのことなので,それにお任せして,ボクは雑感だけ.全く役に立ってないなorz.
今回も産業界からは「ギャップ」を埋める必要は無いのではないかという意見が寄せられた.確かに,ギャップを埋めたがっているのは一方的に学術界かもしれない.しかしながら,「学術界に歩み寄ることはない」(そこまではいってないけど)と言われてしまうと,学術界の存在意義って何だろうと思ってしまう.事実,そういう意識があるから,学術界側から産業界に歩み寄りたいというところがあると思う.
それはそれとして,議論の中に出てきて,とても興味深いなと思ったのが「最強のセキュリティ」だった.学術界の目指すセキュリティは「最強完璧絶対無敵」のものであり,高木先生のICSS11資料でも触れられていたように,社会で求められているものはオーバースペックではなく現実の問題が妥当な範囲で解決するものである.それをこの会では「そこそこセキュリティ」と表現しているわけです.
ところで「最強のセキュリティ」って何が最強なんでしょうか?一般的に,直感的に,「安全性」が最も高いということを現しているように思えます.たぶん,そうです.きっとそうです.でも,見方を変えれば,「そこそこセキュリティ」こそ「最強のセキュリティ」とも言えると思います.安全性は「そこそこ」だけど許容できる範囲で使い勝手がすごくよくてとてもクールなセキュリティ.それって「最強のセキュリティ」ですよね.「最強の」が「理論的に」とかではなく,「利用者にとって」であると良いなと思います.
それについては会の後に@aho1goさんとちょっとお話をしまして,「セキュリティのレベルは利用者が選択できるべき」という話になりました.通常,Webサービスでパスワードを利用する場合,そのWebサービスの言いなりです.例えば「英数記号混合大文字小文字混合で8文字以上」など.でも,そのセキュリティレベルに沿ったパスワードを使ったら,Webサービス側はボクたちの情報を守ってくれるんですか?といえば,全然そんなことはない.パスワード強度によるリスクをWebサービスは保証してくれないのに,利用者に押しつけている.だとしたら,そのセキュリティレベルは利用者が決定する権利を持つべきでしょう.例えば,多少リスクがあっても利便性をとってパスワードは数字4桁とか,リスクは取りたくないので英数記号混合大文字小文字混合32文字にする!とか.利用者がそういうセキュリティレベルを判断するための基準としてSP800-63かなと思ったりもします.こういう個人情報を預けて,こういうサービスを得るには,標準的にこの程度の安全性を設定した方が良いですよ,と.
長くなって疲れたので,この辺りで.
201007141230追記:
@akirakanaokaさんがエントリを公開されました.