工藤伸治のセキュリティ事件簿第8回

　※本稿はフィクションです。実在の団体・事件とは関係がありません※

「知りませんでした…いい言葉だねえ。お前ら、サイバーノーガード戦法の人たちか？」

サイバーノーガード戦法というのは、無知、無対策、無責任なセキュリティ対策だ。定常的にセキュリティ対策のコストをかけるよりも、問題があった時に対応した方がはるかに安い。だから脆弱なシステムを放置しても問題ないという開き直りだ。利用者は事件のことなどすぐに忘れるし、賠償責任が発生してもたかがしれているという発想に立っている。コスト計算だけでいうと完全に正しいが、人倫にもとる考え方だ。主に、いまオレの目の前にいる、葛城みたいに無知なシステム屋を揶揄する時に使う。

葛城は、サイバーノーガード戦法という言葉は知っていたらしく、唇を噛んでなにも言わなかった。言い過ぎたかもしれない、少し反省しよう。せっかくのお客さんなんだ。

「それ意外にも、こまごま見つかってるから、後でくわしく見るんだな。がんばれよ」

「ショックです。知りませんでした。いや、それではすまない話だとは思いますが…」

「あんたは、オレのいい客になるな。うれしいよ」

「は？」

「知らなかったでは、すまされないのがオレの客なんだよ。でもさ、実際不可能なんだよ。システムを構成しているハードやソフトはたくさんあって、毎日、いろんなセキュリティホールが見つかってる。ウィルスもある。そんなの全部チェックして、重要度と優先度を判断して、手当するなんて無理なんだよ。だから、やられる。すると、オレに仕事が来る」

「ああ、なるほど、私にとってはありがたくない話ですね」

「それからさ。内部監視ツールがないから、記録がないんだよね。社内の誰がいつサーバにアクセスしてデータをいじったかわからない」

「IDとパスワードを使ったアクセス記録がサーバに残っています」

「それはサーバだけの話だろ？　サーバに残っている記録だけじゃだめなんだ。問題はどこのパソコンからアクセスして、なにをしたかってことだ。犯人が他人のIDとパスワードを使っている可能性だってあるだろ」

「内部監視ツールですか…考えたことがありませんでした」

「あんた、わかってる？　この手の犯罪は、圧倒的に内部犯行が多いんだよ(註)。内部監視ツールがなけりゃ、これからやってけないよ。あと100万円上乗せしてくれれば、今すぐ導入してセットアップしてあげるよ。バカ安だよ。N電気に頼んだら、一ヵ月かけて見積を出して、ウン千万円っていうぞ」

「わかりました。一時間ください。上長に相談します」

「一時間も待つの？　今、電話しろよ」

「はあ」

【註解】
サイバー犯罪において内部犯行が多いのはよく知られている事実である。システムの開発に携わった方ならご存知と思うが、ひとつのシステムの開発から稼動には、社員、契約社員、外注先などさまざまな組織と人々が関係している。システムの開発において、子請け、孫請けは当たり前、そこからさらに個人に発注されていることもある。さらに本稼動が始まっても、一部の業務を委託している企業は多い。つまり、内部犯行といっても当該企業を中心とした多くの企業までその範囲は広がる。要するに、サイバー犯罪における内部犯罪とは、内部情報に通じた不特定多数と言い換えられるのである。某大手保険会社の個人情報漏えい事件においては、一部業務を委託した海外企業で情報漏えいが起きている。ここまで来ると、従来の「内部」の枠ではおさまりきらない。敵の姿は容易には絞り込めないのである。

【執筆：才式】

関連リンク
さりとてあるまじろ
http://blinedance.blog88.fc2.com/

工藤伸治のセキュリティ事件簿第1回
https://www.netsecurity.ne.jp/3_15524.html
工藤伸治のセキュリティ事件簿第2回
https://www.netsecurity.ne.jp/3_15556.html
工藤伸治のセキュリティ事件簿第3回
https://www.netsecurity.ne.jp/3_15596.html
工藤伸治のセキュリティ事件簿第4回
https://www.netsecurity.ne.jp/3_15633.html
工藤伸治のセキュリティ事件簿第5回
https://www.netsecurity.ne.jp/3_15701.html
工藤伸治のセキュリティ事件簿第6回
https://www.netsecurity.ne.jp/3_15719.html
工藤伸治のセキュリティ事件簿第7回
https://www.netsecurity.ne.jp/3_15805.html