SSLが保証している範囲

はてなブックマーク - ハギーが解説 目からウロコの情報セキュリティ事情:SSLを過信していませんか――ネットバンキングに潜む誤解とは (1/2) - ITmedia エンタープライズ

高木さんの「↓」がどのコメントを刺しているのか分からないんだけど、たまたま直下にあったのが私のコメントで、ちょっとドキッと...。

一応、「めちゃくちゃ酷い」とは思わなかったんだけど、「あれっ、証明書まで確認しなきゃいけない、というのはどんなケースだったけ? URL を確認すれば事は済んだような気が...」と思いつつ、おもむろに『安全なウェブサイト利用の鉄則』を読んでみたり(^^;

ごくごく一般の人が集まっている Q & A サイトで、「SSL は信用できるか?」という質問があって、この辺の技術に明るい人間なら「SSL という仕組みがカバーしている範囲内で、正しく実装、運用されていれば、その範囲において信用できる」といった辺りに落ち着くと思うんだけど、普通の人が「SSL は信用できるか?」という問いかけをしている時って、「SSL が使われているサイトなら信用できるか?」という意味になっている事が多いと思う。

この手の話は昔から繰り返されていて、私も何度か回答したことがあるんだけど、電話に置き換えてみれば分かりやすいと思うんだけどなぁ。

SSL が保証しているのは、

  • ダイアルした番号の先に繋がっている(第3者がその電話番号で変なところへ転送していない)。
  • 通話内容が盗聴されていない。

ということで、じゃぁ、この2つが保証されていたら相手が信用できるか、といったら、「振り込め詐欺ってどう?」ということ。携帯電話の盗聴は、普通は無理だし、普通に電話をかけて全然関係ないところに繋がることは無い(大抵、自分が番号を押し間違えている)。この2つのことが保証されているからといって、相手が詐欺師じゃないとは言えないことは、電話なら分かるんだけど、Web の事になると分からなくなってくる。

最近、新聞で読んだ失敗学の紹介の記事で、技術が複雑になることで、「人間がカバーする範囲」と「機械がカバーする範囲」の境界線を、人間の側は「機械のカバーする範囲」を拡大解釈しがちになり、現実とのギャップが生まれて、そのギャップが失敗を起こす原因になる、という話があったんだけど、この話に似ているなぁ、と。

技術が複雑になってきたから、「SSL のカバーする範囲」が拡大解釈され、「SSL さえ対応していれば安全」といった神話(あるいは、その反動として「SSL なんて無意味」という神話)が出来上がってきて、現実の SSL のカバー範囲とのギャップに危険が潜んでいる。

失敗学をまじめに勉強してみようかなぁ。