slashdot.orgが取り上げている、以下のような記事がありました。

• http://it.slashdot.org/article.pl?sid=08/08/29/175237
• Survey: IT staff would steal secrets if laid off
• http://www.itworld.com/security/54579/survey-it-staff-would-steal-secrets-if-laid

調査の信憑性はあまり信じていません。こういう調査は、調査結果を欲する会社があれば、生まれるものだからです。

ただし、一定のITスキルがある人間にとって、社内のセキュリティというのはあって無きがごとし、というのは事実です。それほど訓練していないぼく程度でもパスワードを打つ手元を見ていれば、6,7割の文字は分かります。社内にいるH氏ぐらいになると、ほぼ100%読み取れるようです。

記事には次のようなことも書かれています。

The survey also found that one third of IT staff admitted to snooping around the network, looking at highly confidential information, such as salary details and people's personal emails.

3分の1という数値の信憑性はともかく、一定数のシステム管理者は、他人のメールを盗み読むことの誘惑に勝てない可能性はあるだろうな、とは思います。

大学時代、メールサーバのrootパスワードさえ分かれば、他人のメールボックスを読める事実を知り、これは危険なものだと感じました。いつかサーバのrootパスワードを教えてもらう時がありました。rootユーザとして決してしてはいけないことのひとつとして、他人のメールを読むことが挙げられました。rootユーザは強い権限を持つゆえ、それに伴う強い倫理観が求められるのです。古き良きUnix文化には、このように行動規範を口承する伝統がありました。

自分で自分に課した倫理はかたくなに守るたちなので、今まで一度も他人のメールボックスを見たことはありません。障害調査のためにメールボックスを見る必要に迫られた時に、当人に伝えた上で、grepで限定した行を抜き出したことがあるぐらいです。

メールの基本的な仕組みは、ぼくの大学時代から変わっていないので、今でも、メールの中身が盗み読まれるかどうかは、システム管理者の倫理観に依存しています。盗み見に対しては、メールの暗号化が最も筋の良い対策ですが、要素技術が揃っているにも関わらず、10年以上に渡って一向に普及する兆しがありません。POP3で、サーバ上のメールボックスからメールを削除してしまうのも、非本質的ですが、盗み見に対するひとつの対策になっています。

メールが最低ラインで、世の中にある、その他のシステムの秘匿性はもう少しマシです。もっとも、最後の砦はパスワード、というのが大半なので、パスワードを破られればお終いです。パスワードが最後の砦という状況に対する、最も筋の良い対策はPKI(AirOneでも使っています)だと思いますが、ユーザ(クライアント)認証という観点では、これもほとんど普及していません。

そんなわけで、ぼくはネットワークの秘匿性というのをほとんど信じていません。ネットワークに公開したものは、誰にでも読まれうるという前提で書いています。まさか他人に読まれるとは思わなかった、なんて泣き言を後で言う気はさらさらありません。どうしても一部の人間にだけ伝達したい場合、内容そのものを寓話的にしたり、分かる人にだけ分かるような書き方をします。これが秘匿性を確保する最善の策です。