どうも書こうと思ってから実際に書くまでのスパンが長くなりすぎているなあ。あ、 mixiの新規登録時に携帯メールアドレスが必須に というやつの話ね。「あとで書こう」と思ってたのだが。うーむあとで書くメソッドを磨くべきなのだろうか。
さて、この話は、わたしの見回した範囲で肯定的に反応している人というのは見たことなくて「そんなので良いのか」「無意味」「携帯電話持ってない人は捨てですか」といった反応ばっかりで、実際わたしもそう思うんだけど、この直感はほんとうか。
せっかくこないだ読んだ本であることだし、『セキュリティはなぜ破られるか』(→感想)の五段階評価法を、この話に適用してみようかな、と思う。五段階評価法とは何かというと、この本でシュナイアーが提案する、セキュリティのリスクと便益のトレードオフを評価・検討するものだ。具体的には、
という5つになる。順番に考えてみる。
守るべき資産は何か
文言上はソーシャルネットワークの規約……だけど、そういう規約が制定された背景を考えると、実際にはソーシャルネットワークを成立させるための信頼関係が守るべき資産である。
その資産はどのようなリスクにさらされているのか
多重アカウントで信頼関係がどのような危機にさらされるか。端的には自作自演だろう。1人=1アカウントの対応関係が取れないと、他人の発言の信頼性が著しく低下する(そういうことが可能であるために、可能性を示唆するだけで本当は自作自演じゃなくても信頼性を貶めることができる。これは2chなんかではよくある話)。
ほかにも、mixiの情報を使って何らかの統計・マーケティングをやっているときなどで辻褄が合わなくなるかもしれない。
セキュリティ対策によって、リスクはどれだけ低下するか
たぶんたいして低下しない。まず、現在登録している1000万人だかそこらには携帯電話のメールアドレスの登録が義務づけられていない。携帯電話でmixiにアクセスしている層は相当数いると思うが、かりに残りが1割だとしても100万人の多重登録は防げないわけだ。
第二に、携帯電話を複数所持する者を防げない。「それだけの覚悟とコストを払う必要がある」という考え方もあるが、たとえば携帯電話を契約してメールアドレスを登録し、mixiに登録してすぐに解約したらどうか? といった状況を考えると、本気で多重登録しようと企図した場合は対処できないだろう。ある種の人間は、携帯電話を最初から複数持っているし。
もうひとつ気付いたが、多重アカウントの数に制限を設けられる。たとえば2つのキャリアと契約している人のアカウント数の上限は2である。国内のキャリア数はかなり少ないから、たとえばイッキに10とか20とかいったアカウントを登録することはできない。契約→解約を繰り返せば最終的にはそこまで到達することは可能だが、手間も時間もお金もかかる上にあきらかに不審なことをしているのだから、どこかで破綻する可能性もそれだけ増えるだろう。
セキュリティ対策によって、どのようなリスクがもたらされるか
この対策によって新たに生じるリスクというのは、じつはほとんどないといっていい気がする。強引に言うなら、「対策をしている」ということにより安心感を抱いてしまうユーザがいるかもしれない、ということくらいは言えるかもしれないが。
もちろん、電子メールや携帯電話の仕組みに精通しているものであれば、携帯電話による認証部分に攻撃を仕掛けることが可能になる。ただ、これまでもPCのメールアドレスで同様のことをしていた。回数が増えたぶんだけ危険性が増すのは真だが、それほど大きなリスク増加ではないだろう(PCならある程度は電子署名などで安全性を確保できるが、携帯電話はメーカがそこまで実装していないので安全になりづらいという背景もあるかも)。
対策にはどれほどのコストとどのようなトレードオフが存在するか
導入コスト。携帯電話のキャリアとの調整が必要だろうし、スクリプトも書き換えないといけない。もっとも、それほど大きなコストではない。
トレードオフ。携帯電話にメールアドレスを登録している者でなければmixiに登録できなくなる。国内でも相当数、海外まで含めるとあまりにも多くの人間が「mixiに入れません」とシャットアウトされたかたちになる。潜在的に、mixiの利用者層を狭めることになるだろう。
ただし、これがどれくらいの問題なのかはまさにmixiの中の人でないとわからない。典型的なmixiユーザは携帯電話を使う20-30代の国内在住者であり、それだけにターゲットを絞っても「やっていける」という判断を下したのだろう。自分が爪弾きにされると人間はいきり立つものだが、だからといってすぐさまその判断が誤りであることにはならない。
まとめ
と整理しても、やっぱり大した効果がないくせにトレードオフが大きいという風に思える。
上では意図的に書かなかったんだけど、「誰を止めたいか」というのがポイントとなる。この対策は、意図的に自作自演をするために多重アカウントを作成したい者に対してはまったくの無力である。ある意味では、そういう輩は何をどうしようと多重アカウントを作成するわけで、最初から諦めているわけだ。そうではなくて、もっとカジュアルにアカウントを多重化したい場合に「それはダメだよ」と言っているわけだ。mixiくらい規模が巨大になると、規約をたいして読まず理解もせずになんとなくサブアカウントを作成しようとする層だけで相当数に登るだろう。そういうカジュアル層は、この対策で一網打尽にできる。端的に言って「あ、それって規約違反だったんだ」という人だっているだろう。そういう人には有効である。
でも、そういう人が意図的な自作自演によってSNSの信頼関係を破壊するかというと、それは違う気がする。これは直感なので、統計はきちんとした研究者かmixiの中の人が知っていることだろうが、カジュアル層は単なる予備、あるいは「別人格」のためにアカウントを作るのであり、そういう層による自作自演はほとんどないのかもしれない。多重アカウントがそれ自体で問題なのではないという点にもっと注目した方がいいのかもしれない。「はてな」みたいにサブアカウントを制度的に許すことにすると、ぐっと問題点が低下するかもしれないし。
「対策によってもたらされるリスク」が、ぜんぜんない(かなり低い)という点が、この話ではポイントになる。mixiの運営側から見ると、リスクが増えることなく、簡単に(低コストで)実装可能、典型的なmixiユーザが払うコストはなく、ひとまず多重アカウントを減らせる、という対策なわけだ。なるほどこれは悪くないと思える。
わたしとしては「何故、多重アカウントを減らしたいか?」という点や、典型的でないmixiユーザを見捨てる行為をはっきりと行った点をもっと強調したいところだが、案外とひどい対策ではない(=運営側としてはそれなりに合理的な対策である)のかもしれない。
でもまあ今だったらmixiに登録してないよな。オレはたぶんお呼びじゃないんで。