「不正侵入の検知はログしかないですね？」 面倒くさい社長の質問：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

セキュリティのコンサルティングをしていると、しばし経営者から「セキュリティって何が難しいのかそもそも分からない」「要はログの問題じゃないの？」と言われる。しかし、そうではないのだが……。

[萩原栄幸，ITmedia]

　情報セキュリティを主体にしたコンサルタントをしている中で、企業の経営者と頻繁に打ち合わせをする機会が多い。中にはどうにも理解してもらえないことがある。今回もその1つを紹介したい。父親から社長業を任された中堅スーパーにおける出来事だ。

面倒くさい社長の質問

　この企業は関西を基盤にしたスーパーマーケットである。大規模ではないが、地域に密着した着実な経営で有名だった。数年前に父親から家業を継いで経営者となった社長は、任されるまで精密部品メーカーの技術者であり、国立大学工学部出身の優秀な人物だったらしい。人事関係などの分野は、先代の肝いりだった2人の取締役から教育を受けていた。実質的な運営は、この2人の取締役が仕切っていたといっても過言ではない状況であった。

　その社長が生き生きとしている場面の1つに、経営戦略に基づく情報戦略会議、個別システムのプロジェクト進捗会議があった。本来、社長は進捗会議に顔を出す必要はないのだが、社長に言わせると、昔の工学部の魂が震えてしまうほど、とてもドラマティックな展開が期待できるという。そして、様々な出入りのベンダーやIT企業の売り込みにも、時間が許す限り参加していた。

　そうした状況が1、2年ほど経過した頃、従業員のミスで情報漏えい事件が発覚した。マスコミ対応などが収束してから、ピンポイントで「情報漏えい対策プロジェクト」のオブザーバーとして筆者が呼ばれた。1週間ほどしてプロジェクトが本格的に稼働した頃、社長とランチをしている時に、こういう事を話し始めた。

　「システム内部への侵入を感知するには、原則的にログしかないですよね」

　筆者は、「まあ、状況などによりますが、確かにログは重要な情報の1つであることは間違いありません」と答えた。

　すると社長は、「ベンダーの資料では外部からの攻撃や内部犯罪の9割以上がログで検出できるというではありませんか。ところが、うちのシステムの幾つかはログを採取していないという。それじゃあ、侵入されても感知すらできない。問題外だと思いませんか？」と言われた。

　筆者は苦笑いしながら、「確かに一般論としてはそういう事が言えますが、『システム』という言葉自体の定義から、システム間インタフェースによって論理上は不要だとか、様々なケースも考えられますよ。今のお話しだけでは、何とも言い難いものです」とお伝えした。

　この会話の数日後、筆者の作業がほぼ終了して後は報告書をどうまとめるかという段階になった。その時になって、情報セキュリティ管理者が助けを求めてきた。