FireWallの社会学

三山 元

国際政治を勉強していて、一番嫌だったのはあの独特の無力感です。 国連総会では議決が行われる時、挙手をせず、反対表明を行わないと、「暗黙の了解」と理解され、賛成票になってしまいます。積極的に反対しない限り、決議には賛成してしまうことになります。 また、日本の社会にも「暗黙の了解」という原理は様々な場面で成り立っています。 でも、よく考えてみると、「暗黙の了解」が成り立つ場面というのは恐ろしく少ない事実に気付きます。この同意が成り立つ前提として、「何も言わなくても、皆がある一定の共通見解を共有している」必要があります。 国連であれば世界平和が共通見解かもしれません。日本社会では、この社会のシステムの在り方そのものが共有されているということになるかと思います。（世間、とか。） でも、翻って考えてみると、共有できる考え方や見解なんてどれくらいあるのでしょうか。例えば、「日本人の利益」と言った時、「日本人」とは一体誰を指すのでしょうか。 JMMでも度々議論の主題になってますが、日本人という枠で現在の日本を括ることは既にできなくなっています。いや、そもそもそういったかたちで括ることなんて不可能なはずだったのに、あたかも典型的「日本人」がいるという仮定の上に、日本社会というのは成り立ってきました。そして、これからもたぶんそうなんだろうと思います。 社会には様々な種類の人々がいて、それぞれの階層の人々が別々の利益を求めています。これは社会の在り方としては正常な状態です。しかし、そういった様々な階層の人々を一括りにして、「日本人」と果たして呼ぶことが可能なのでしょうか。 国連にしても同じ問題を抱えています。極端に言ってしまうと、果たして全世界の国々は平和を追い求めているのでしょうか？ましてや、世界国家のような夢を持っているような国なんて存在するのでしょうか？その可能性は敢えて否定はしません。でも、それは未知数ですし、確証を得ることはできません。 「暗黙の了解」というルールは、実社会では通用しないというのが私の見解です。そして、これが私がインターネット業界に潜り込むことになった理由の一つになります。 最近のインターネットのシステムには、FireWall（防御壁）の役目を担う機器が導入されることが多くなっています。外部、そして内部からの不正なアクセスを全て制限するためのシステムで、単独の機械として有名なのはWatchGuardです。Windows上で動くシステムとしては、Firewall-1、Linuxではipchainsやiptables、FreeBSDではipfwが使われることが多いです。この他にも様々な製品が使用されているようですが、普段私が目にするのは上記の製品群です。 いろいろな製品があるにも関わらず、FireWallの基本的な考え方は全て同じです。それは、 「暗黙の拒否」 です。 まず、インターネットの仕組みについて簡単に説明します。 例えば、自分が車に乗って、友達の家に遊びに行くことを想像して下さい。ここでは、便宜上、自分も友達も高層マンションに住んでいると仮定します。 まず、エスカレータで地階下りてから駐車場に行き、車に乗ります。（もしかしたら地下駐車場かもしれませんが。） あらかじめ調べておいた道順に沿って車を運転し、友人の住む高層マンションの駐車場に車を止め、エレベーターで友人の住む階まで行き、ドアのノックして「お久しぶり！」と言うことになります。 上記の例をインターネットの世界に当てはめると、 自分の家 ＝　情報を送信するアプリケーション（ソフト） 相手の家 ＝　情報を受信するアプリケーション（ソフト） 高層マンション ＝　通信を行うコンピューター 道路 ＝　インターネットのネットワーク 自分（車） ＝　インターネットのネットワーク上を流れるパケット（情報） になると思います。 ただ、それぞれの高層マンションは65535戸もある巨大なものであることを付け加えておきます。それぞれのドアの中では様々なソフトが稼動しています。身近な例ではWEBサーバーやメールサーバー、といったところです。 それぞれの高層マンションは住所を持っています。インターネットではこれをIPアドレスと呼びます。 インターネットの問題点は、もしコンピューターをネットワークに直に接続した場合、インターネット上の誰もが、この65535の扉を叩くことが出来るようになってしまう点です。 もし、自分がこの高層マンションに住んでいると仮定して、毎日何人もの人がピンポンダッシュをしてきたら、不愉快ですよね。それこそ、65535戸全てにピンポンダッシュしてくる悪ガキだって出現するかもしれません。ピンポンダッシュだったらまだ許せますが、不法侵入などが発生したら、笑い事では済まされません。 そこで、高層マンションの入り口に警備員を配備するところが出現します。この警備員は、マンションを出入りする全ての人を常に監視する役目を担っています。この人のお陰で、不審な人はマンションの入り口で追い返されることになります。これで、マンションの安全は保たれます。 FireWallは、この警備員です。警備員はあらかじめ決められたポリシーに従って、出入りする人々を全て監視し、必要であれば追い返したり、特定の部屋へ誘導したりします。 さて、前置きが長くなってしまいました。 前述の通り、FireWallの基本的な考え方は「暗黙の拒否」です。 インターネットは基本的に何をやっても自由です。逆にいえば、この自由のおかげで、インターネットには得体の知れない膨大な量のパケット（情報）が流れています。この全てを把握することは殆ど不可能に近い状態です。 日本人の大好きな100点満点志向の考え方の場合、この全てを把握し、必要ないものについては拒否をする方針が採られます。それぞれの高層マンションの警備員はブラックリストを持っており、このブラックリストを元に危険性のある人々を追い返します。つまり、現実世界でいうところの、「暗黙の了解」です。敢えて積極的に拒否をしない限り、出入りする人たちはノーパスでマンションに入る事ができます。逆の観点から見ると、ブラックリストに書かれない限り、侵入者は拒否されません。でも、インターネットの技術革新のスピードから考えると、このやり方は非現実的です。 そこで、警備員は全く逆の処置を採ります。まず、全ての人の侵入者の出入りを拒否します。そして、自分が認知できる人に関してのみ、通行を許します。これは、一見凄く非情な考え方のように見えます。でも、実際はそうでもありません。 そもそも、全てを知ることなんて出来るのでしょうか？そんなの無理に決まってます。だから、最初から完璧に全ての物事を知ること自体を諦めてしまうのです。 少し話題がわき道に逸れます。 CRM(Customer Relationship Management)といったインターネットを利用したマネージメント手法が日本でも流行りだしたのは、今から2年間ほど前からです。当時Yahoo!の副社長だったSeth Godinの[Permission Marketing]を、コンサルタントの坂本啓一氏が邦訳し、翻訳本が発売となったのが1999年の11月でした。 その頃から、CRM、One to One、パーミッション・マーケティングなどの様々な流行語が発生しました。そして、日本でもコンサルティング・ファームが脚光を浴びるようになりました。 さて、KM(Knowledge Management)などもそうなのですが、日本とアメリカでは、こういった手法に対する根本的な考え方が、実は正反対だったりします。（勿論例外も沢山あるとは思いますが。） 日本の企業の場合、KMやCRMなどで組織改革を行えば、完璧な情報共有が出来ると考えます。現状での情報共有化には問題があるけれど、何らかのソリューションを用いれば完全な情報の共有は可能だとする考え方です。コンサルティングを受けること自体が目的になっている良い例かもしれません。だから、コンサルティング･ファームは大学生にも大人気のようで、新卒で就職する人も多いようです。でも、本来会計機能を持たないコンサルティング・ファームは、コンサルティングした結果に対してそこまでの責任を負う必要性はありません。極端な話、出鱈目でもいいわけです。 アメリカの企業の場合は、そもそも情報の共有なんて不可能だと最初から諦めています。だから、その状況を少しでも改善するために様々なソリューションを導入します。コンサルティングはこの場合、沢山ある手段のうちの1つでしかありません。こちらの考え方の方が、人間の多様性に適応出来、結果的には有効な結果を生み出すことができます。 完璧主義の弊害は、こういったところにも現れる、という良い例だと思います。 さて、FireWallが「暗黙の拒否」を採用するのは、結果的にはその方が負担がかからないからです。ここでは、文法的に一番分かり易いFreeBSDのipfwを例に極簡単なFireWallを構築してみます。構築、といっても、警備員が従うためのポリシーを作るだけですが。また、実際にはこれよりも若干複雑になるので、このまま実行しても上手く行きません。ご了承下さい。 まず、「暗黙の拒否」を行います。 deny all from any to any どこから来た、どの情報であっても、上記の設定は拒否します。これがFireWallの基本設定です。 次に、このコンピューターではWEBサーバーを運営しているので、WEBにアクセスできるように設定します。今回例として使用している高層マンションには65535戸もの部屋があるのですが、WEBサーバーが運営されているのは80番目の部屋です。ですので、警備員に対しては80番目の部屋には誰でも入れることを教えてあげます。また、一旦入った人たちは、自分たちのコンピューター（高層マンション）に帰らなければいけないので、帰りに関しても通してあげるようにします。 このマンションの住所は、10.0.0.1とします。 allow tcp from any to 10.0.0.1 80 allow tcp from 10.0.0.1 80 to any これで、このマンション(10.0.0.1)の80番目の部屋には誰でも行くことができるようになります。また、帰り道も保証されます。 ところで、このマンションは、別のマンション(192.168.1.1)のメールサーバーの役目も担っています。メールサーバーには、送信用と受信用の2つがあります。送信用の部屋は25番目です。受信用の部屋は110番になります。WEBサーバーと違い、誰でもメールサーバーの部屋にアクセスできると危険ですし、そもそも192.168.1.1に住んでいる人しか使っていないので、ここの人だけを通してあげることにします。 allow tcp from 192.168.1.1 to 10.0.0.1 25 allow tcp from 10.0.0.1 25 to 192.168.1.1 allow tcp from 192.168.1.1 to 10.0.0.1 110 allow tcp from 10.0.0.1 110 to 192.168.1.1 これで、192.168.1.1から来た人は、10.0.0.1の25番目と110番目の部屋に行き来できるようになります。 ※tcpという言葉はおまじないだと思ってください... ここで、今まで行った設定をまとめてみます。 # WEBサーバーのいる80番目の部屋に行く設定 allow tcp from any to 10.0.0.1 80 allow tcp from 10.0.0.1 80 to any # メール送信サーバーのいる25番目の部屋に行く設定 # （192.168.1.1から来た人限定） allow tcp from 192.168.1.1 to 10.0.0.1 25 allow tcp from 10.0.0.1 25 to 192.168.1.1 # メール受信サーバーのいる110番目の部屋に行く設定 # （192.168.1.1から来た人限定） allow tcp from 192.168.1.1 to 10.0.0.1 110 allow tcp from 10.0.0.1 110 to 192.168.1.1 # 「暗黙の拒否」 deny all from any to any ipfwでは上のエントリから優先して実行されるので、「暗黙の拒否」は一番最後に設定されます。もしこれが一番上に設定されてしまうと、その下の設定は全て無視され、高層マンションに行き来する全ての人の出入りが出来なくなってしまいます。 上記のように設定することで、WEBとメール以外の用事で高層マンションを訪れた人は、警備員から入場を断られることになります。 さて、FireWallには「暗黙の了解」を可能にする設定も勿論あります。上記の設定の代わりに、以下の設定をすれば、警備員は「暗黙の了解」の元、警備を行います。あとは、拒否したい分を加えていけばいいだけです。どちらが手間かはちょっと考えれば分かるはずです。 # 「暗黙の了解」 allow all from any to any 既に「暗黙の拒否」を元にきちんと制限をかけたポリシーの後にこれを見ると、何だか怖くなってきませんか？65535の扉の一つ一つに対していちいち拒否の設定を行う手間を考えてみてください。 この、FireWallの「暗黙の拒否」の考え方は、実際の社会でもとても重要なのではないでしょうか。自分たちの住む社会的環境が、自分の理解できる範囲内で広がっているのであれば、そしてそのような共通見解が、コミニュティに生活している全ての人に共有されているのであれば、「暗黙の了解」はその効力を十分発揮できるかもしれません。コミュニティの中で何が起こっていて、何が問題で、何を解決する必要があるのかを、「暗黙の了解」で互いに共有できるのであれば、もしかしたら、それが理想的な環境なのかもしれません。 でも、実際にはコミニュティで起こっている全ての出来事を把握することなど不可能ですし、個々人が理解できる範囲というもの必然的に限定されてしまいます。このような状況下で、果たして「暗黙の了解」は効力を発揮できるでしょうか？ 最初の方で、「日本人の利益」と言ったときの「日本人」とは誰なのか？ということを例に出しました。果たして、私たちは日本人という一つのグループで括ることが出来るほど共通の利益を共有しているのでしょうか。 あまりにも社会が多様化している現在の状況にあって、今でも「暗黙の了解」で「日本人の利益」を語ることが出来ると政治家の方々は思われているのでしょうか？それなのであれば、逆に現在の社会情勢など全く理解出来ないという「暗黙の拒否」の状態に積極的に自分の立場を持って行き、自分の把握できる部分から問題を解決していった方が有益ではないでしょうか。勿論、全てがこの方法で上手く行くとは考えていませんが。 EUがシステムとして成功している理由の一つは、「暗黙の了解」のルールが通用したからだと私は考えます。EUは積極的に戦争を無くすという試みですが、EUという領域内では文化的に共有できる部分が多く、背負っている歴史の重みに関しても、相互理解がある程度はあるために、効率的に物事を進めることが可能だったのだと思います。また、「暗黙の了解」が通用し易い経済の分野で積極的に統合を行ったことも原因になるかもしれません。しかし、これからも同じ方法が通用するかは未知数ですが。 日本がEUのような共同体をアジアに創ることが出来ない最大の原因は、「暗黙の了解」ルールが通用しないからだと今のところは考えています。その逆の発想がいつまで経っても出来ないために、今でも日本はアジア圏で上手くリーダーシップを発揮できないでいます。 国連での議会の決定プロセスに関しても、「暗黙の了解」ではなく、「暗黙の拒否」のポリシーを採用することで、現在の先進国主導の国際政治から、より公平な舞台で論議できる国際政治へとシフトできる可能性があるのではないかと考えています。 インターネットは、技術的な視野から語られることが多く、その裏でこれらの技術を支えている哲学にはあまり光が当たっていないのが実情です。インターネットは人間が作り上げたインフラです。そして、それを作った人たちが、一番効率の良い方法を模索した結果でもあります。その考え方は、インターネットに留まらず、様々な分野に応用可能なのではないでしょうか。