トロイの木馬の故事を引き出すまでもなく、最も脆弱な部分の1つは「防御壁の内部」にある。その中は、皆が善人であり、スパイは存在せず、正しい行動をするという前提で防御が作られている場合が多い。
素人ならまだ許されるが、こうした事件の謝罪会見の場ではいつも、「そういう事は想定外であった」「別会社の人間なので意識が及ばなかった」という釈明ばかりが聞かれる。本当にそうなのか? もしそうなら、これらの防御を構築した人間は皆ド素人だというしかないのだ。筆者がシステムエンジニアとして作業をしてきた30年前ならまだ許されるかもしれないが、もういい加減にこういう言い訳はやめてほしい。
このように情報漏えいなどのセキュリティ問題は、明らかに内部犯罪の方が件数としては多いのだ。だから内部関係者と判断された人の挙動は常に監視し、しきい値以上の動きがあれば、警告メッセージを出す、そのIDについて一時的にシステムの外部に出すといった様々な方法がとれるはずである。そういう考えが醸成してきてもおかしくない状況にあるだろう。
「内部犯罪の検知や防御について十分に対策を立ててきたつもりだが、今回は対策について極めてまれな動きが認められ、監視を徹底してきたが○○の事由で突破されてしまった。この脆弱性について当日中に対策を実装した。その他のシステムでも横展開し、確認済みである」
せめて謝罪会見でこれくらいは発言できるようになっていただきたい。
Copyright © ITmedia, Inc. All Rights Reserved.