英語でセキュリティ#1 - 公開されてしまったトップシークレットの扱いは?

 KBIZ小熊です。 数年前から、英語の勉強とセキュリティの情報収集を兼ねて、鎌倉から東京までの通勤時間に「Security Now!」というPodCastを聞いています。ここでは、その中で小熊が面白いと思った内容(一部)について、原文を交えて紹介していきたいと思います。英語をちゃんと訳す時間もありませんし、原文を読んだり、PodCastを聞いて欲しいという思いもあるので、訳はいい加減な上に脚色が入っています。悪しからず。

 今回は、その第1回目です。  NSAで働いていたSnowden氏の動向は、情報セキュリティ業界だけでなく世界中が注目しています。それに関連した面白い話がありましたので紹介します。

「公開されてしまったトップシークレットの扱いは?」

Security Now! Episode #414 "Inflection Points" July 24, 2013


So I want this week to, because this is still, I mean, every blog that I care about, every security site that I look at, I mean, we're still seeing the people working to understand what the Snowden revelations were about and what the NSA's position means. And believe it or not, it hasn't all been said yet. I've got some really interesting new things that I want to share.

 いま人々は、Snowden氏が開示してしまったということがどういうことなのか、そしてNSAはどういうスタンスなのかを理解しようとしているみたいだよ。そんな中で、非常に興味深い情報があったのでシェアするよ。


If Bruce Schneier, whom we've spoken of often, who is a world-class cryptographer, who has designed several ciphers which are among the best, written several books - "Practical Cryptography," "Secrets & Lies," and there's a third one now that I can't remember the title of. But, I mean, mainstream guy. And so if this wasn't from him, I wouldn't believe it. So this is July 17th. The title of his blog was "DHS" - of course the U.S. Department of Homeland Security - "Puts Its Head in the Sand."

And Bruce wrote, "On the subject of the recent Washington Post Snowden document, the Department of Homeland Security sent this email out to at least some of its employees." So someone forwarded this to Bruce. Bruce redacted the "From" and the "To," and he had to remove some information from the "CC" also. But the subject of this actual - and again, if it weren't from Bruce, I'd go, uh-huh, good, that's funny. But no, this is real.

 Bruce Schneierという世界的に有名な暗号学者がいるんだ。暗号に関する有名な本も書いている。そんな人がこないだブログを書いたんだよね。タイトルは"DHS -Puts Its Head in the Sand."、DHSはもちろん、"U.S. Department of Homeland Security"のことさ。日本人には「国土安全保障省」って言った方がいいのかな。タイトルは「DHSは砂の中に頭をうずめてる」って意味さ。ダチョウが危険を感じると地面の穴に頭をつっこむって言うけど、そのことだね。  そこで書いてあったことを紹介するよ。最近、ワシントンポストにSnowdenのドキュメントが掲載されたんだ。それについてDHSが全職員にメールを送ったのさ。それを受け取った職員の誰かがBruceにメールを転送したみたいで、ばれちゃたんだね。メールはちょいと加工されてるけど、これはマジっぽいよ。ちょーウケるんだ。


"Subject: //// SECURITY ADVISORY //// NEW WASHINGTON POST WEB" - this is from the DHS to its employees: "NEW WASHINGTON POST WEBPAGE ARTICLE - DO NOT CLICK ON THIS LINK." The letter reads: "I have been advised that this article is on the..."

"I have been advised," says this letter, "that this article is on the Washington Post's website today and has a clickable link titled 'The NSA slide you have never seen' that must not be opened."

If you're in the Department of Homeland Security.

 メールのタイトルは「//// SECURITY ADVISORY //// NEW WASHINGTON POST WEB」ってんだ。DHSから職員に対するメールだね。内容は、「NEW WASHINGTON POST WEBPAGE ARTICLE - DO NOT CLICK ON THIS LINK.」つまり、ワシントンポストの記事はクリックするな、っていってるんだね。レターでは引き続き、「ワシントンポストに掲載されている、'The NSA slide you have never seen'というところは絶対開いちゃダメだ」って言っている。「あなたが見たことのないNSAのスライド」ってリンクがあったら、クリックしたくなっちゃうよね。でも絶対ダメだっていうのさ。「もしあなたがDHSの職員なら。」そう。DHSの職員はダメって言ってるんだ。


The letter goes on to explain why. "This link opens up a classified document..."

"...which will raise the classification level of your unclassified workstation" - we're not making this up, folks - "will raise the classification level of your unclassified workstation to the classification of the slide, which is reported to be TS" - that's top secret - "/NF. This has been verified..."

"This has been verified by our mission partner and the reason for this email. If opened on your home or work computer, you are obligated to report this to the SSO as your computer could then be considered a classified workstation."

My god. "Again, please exercise good judgment," says this guy, "when visiting these web pages and clicking on such links."

 レターはそのあと理由を説明してるよ。「そのリンクをクリックすると、機密文書(Classified document)が開かれます。そうなると、あなたのPCはトップシークレットとして機密扱いになります。もしあなたが自宅もしくはオフィスのPCでそれを開いてしまった場合は、あなたのPCを機密扱いにするかSSOに報告する義務があります。」ってことらしい。


"You are violating your Non-Disclosure Agreement in which you promise by signing that you will protect classified national security information. You may be subject to any administrative or legal action from the government."

 「それは、国家の機密情報を守る、とした機密保持契約に違反することで、国家から懲戒、もしくは法的な措置を受けることがあります。」って言ってるよ!!

These are the people protecting us, ladies and gentlemen.

Bruce says, "This is not just ridiculous, it's idiotic. Why put DHS employees at a disadvantage by trying to prevent them from knowing what the rest of the world knows?"

 そんなやつらが我々を守ってるって...なんてこったい。  Bruceはブログでこう書いてるよ。「なんで世界中の人が知っている情報をDHSの職員が知れないように、なんてことをするんだろう!?」

Bruce says, "The point of classification..."

"...is to keep something out of the hands of the bad guys. Once a document is public, the bad guys have it. The harm is done. Can someone think of a reason for this DHS policy other than spite?"

 Bruceはこう言ってるよ。「機密情報管理の目的は、悪い奴の手に入らないようにすることだ。もう公になってしまったら、その危機は無くなってしまったんだ。このDHSのやり方は嫌がらせ以外のなにものでもないって考えなかったのかな?」

 小熊も職業柄いろんな会社のセキュリティポリシーには触れたことがありますが、確かに「漏洩した際には機密レベルを下げる」なんてことが書いてあるポリシーは見たことがありません。また、機密レベルを上げるのは簡単でも、下げるのは大変なものです。通常は、情報オーナーでないと機密レベルを下げる権限は持っていないはずなので、NSAがその文書の機密レベルを下げるというプロセスを踏まないとこの状況は続くのでしょう。  是非みなさんもこのPodCast、聞いてみて下さい。楽しいですよ。しゃべったことが全て文字になってWebに載っていますので、聞き取れないところもそれを見れば大丈夫です!! Androidの人は、BeyondPodを使ってはいかがでしょうか。500円するアプリですが、夜中に自動で新しいエピソードをダウンロードしてくれるので便利ですよ。小熊はそれを使っています。

 次回は、だいぶ昔に聞いたんですが、どうやってBlu-rayの暗号が解読されたのかについてのエピソード、目から鱗だったので紹介したいと思っています。それでは、また。


小熊