CSIRT小説「側線」 第9話:レジリエンス(後編)CSIRT小説「側線」(3/4 ページ)

» 2018年10月05日 07時00分 公開
[笹木野ミドリITmedia]

 ――無害化は聞いたことがある。メール内容やWebの閲覧をダイレクトにさせるのではなく、一度中間地点でデータをクリーニングして無害化してから提供する、という技術だ。

 道筋は思い出しながら質問する。

 「そういえば、メールの内容は強制的にテキスト形式にしてしまう、という点ですが……それはまぁ、安全ですが、自治体って、ExcelやPDFのフォーマットも民間とやりとりしていますよね? あれはどうしているのでしょうか」

 営業が答える。

 「添付ファイルは中間地点で開いた後、画像化しています」

 ――民間とのやりとりの中では、機密性の高い情報もあるだろう。そうしたらパスワードも付ける場合があるはず。ならば開けずに画像化できないファイルもあるのでは?

 道筋はそう思いながら続きを聞く。

 「Excelなどをやりとりする場合では、受け取った側がそのファイルに何かを書き込み、再利用するケースもありますよね。画像化してしまうとそれができなくなるのでは?」

 営業が答える。

 「安全が確認されたファイルは、画像だけではなく、オリジナルファイルのダウンロードも可能です」


 ――もともと利用者のリテラシーが低い場合には、無害化は有効だろう。だが、この安全確認を利用者にさせるのならば、元の木阿弥だな。

 道筋は、そう思いながら続きを聞く。

 「Web閲覧の無害化は、どうしているのでしょうか?」

 営業が答える。

 「一度、中間地点でWeb閲覧から収集したデータをクリーニングしています。利用者の閲覧は全てこの中間地点のデータを利用しますので、絶対……いや、安全です」

 営業は「絶対」「あらゆる」などの言葉は道筋から突っ込まれる禁句と悟り、表現を和らげた。

 道筋が聞く。

 「そうですか。利用者のWeb閲覧はこの中間地点を通過すると。その場合、Webを閲覧される相手にとっては、弊社の従業員のあらゆるリクエストがこの“中間地点”からの一括したアクセスになるため、相手から弊社が過負荷攻撃(DDoS攻撃)を仕掛けていると誤解され、ブロックされてしまうことはないですか」

 営業は「絶対」と言わなくて良かったと心から思った。確かに、相手への迷惑行為までは考えていなかった。気を取り直して言う。

 「その通りです。ある程度のアクセス数がある場合には中間地点を分散させる必要があります」

 道筋は分かりました、と礼を言った。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ