CSIRT小説「側線」 第12話：安全な製品（後編）：CSIRT小説「側線」（2/3 ページ）

[笹木野ミドリ，ITmedia]

道筋聡：企画・開発部門から異動して来た。PMやMBAなどの資格を持ち、プライドが高い。元の部門ではエースの名を保持していたが、なぜCSIRTに配属されてきたのか疑問に思っている

　夜も更けていき、道筋聡（みちすじ　さとる）が明徴にささやく。

　「明徴、ちょっと外に出て話さないか？」

　明徴が答える。

　「いいですけど、どうしたんですか？」

　道筋が申し訳なさそうに言う。

　「ちょっと、仕事に関係することで話したくてね。ほら、ここで話すと女性陣から『こんなところに来てまで仕事の話をするー。どんだけ仕事中毒なのー？』って言われるに決まっているからな」

　明徴は吹き出しそうになって答える。

　「いいですよ。じゃ、湯畑の近くに露天の足湯がありましたから、そこで話しましょうか」

＠湯畑の足湯

　昼間は大勢の人でにぎわっていた足湯だが、この時間になると人が少ない。恐らく、皆宿で宴会をしているのだろう。

　道筋は、足湯に入る前に「湯上がりに足を拭くタオルを持ってきたか」と明徴に確認し、明徴が手にタオルをかざすのを見て、足を浸す。

　続けて明徴も足を浸す。明徴は足を湯の中でポチャポチャさせながら道筋に問う。

　「それで、どんなことでしょうか」

　道筋が話しだす。

　「いや、仕事の話で申し訳ない。会社ではなかなか言いづらくてね。知っての通り、わが社は最近非常に多くのセキュリティインシデントに見舞われている。それだけ、重要な情報を扱っている証拠だけどね。明徴は『脆弱（ぜいじゃく）性診断』という仕事で出荷前の製品を検査して、機器設定やネットワーク設定、果てはアプリケーションの作りまで、敵に攻撃される穴がないかどうかを確かめるだろう。大変な仕事だと思う」

　明徴は黙って聞いている。

　「明徴が検査で多くの問題点を抽出すると、僕はそれだけ自分の仕事にケチを付けられているようで、良い気分がしなかったのは事実だ。だが、今では感謝している。同時に、自分の仕事の重要性も認識した」

　明徴が言う。

　「道筋さんの仕事、とても重要ですよ。道筋さんにしかできない仕事だと思っています。この前のインシデントで、秘密分散技術を使って最終ラインで防御できたのも、道筋さんのアイデアのおかげじゃないですか」

　道筋はしばらく沈黙し、もやもやしていたものを吐き出すように言う。

志路大河：元システム運用統括。システム運用というブラックな世界をITIL導入によってシステマチックに変革した実績を持つ。CSIRTに異動となった時に、部下のインシデントハンドラーを引き連れて来た。修羅場をいくつも経験した肝が据わった苦労人。CSIRT全体統括を補佐し、陰ながら支える。相棒のキュレーターを信頼している。インシデント対応の虎と呼ばれる

　「実は最初、どうして企画部開発の僕がCSIRTに異動になるのか全く分からなかった。ただ、異動の時に志路さんから、『この会社が作ろうとしているシステムは、全部お前がチェックしろ。全てのシステム開発に関わったお前だったらできるはずだ。安全ではない製品を決して世に出すな』と言われた。

　この時は、何てむちゃぶりな、と思ったが、この前のインシデントを体験して、外から攻撃を受ける恐ろしさを知った。同時に、インターネットで商売をする、ということの恐ろしさもな。

　だから、今では志路さんの言っていたことがよく分かる。できるだけのことをやり尽くしてから出荷するのが、最低ラインの仕事だ。費用やスケジュールの問題があったとしても、問題を見つけたら妥協してはいけないんだ。もちろん、自分で十分だと思っていても、攻撃されることもある。それでも、不良品を出荷した場合とはその確率が段違いだ」

　明徴も答える。

　「そうだったんですか。実は、自分も気持ちは同じです。そういう意味では、お互いのけん制ということも含めて、プロジェクトの設計や製造フェーズでの安全性確認は道筋さんにやっていただいて、出荷前の最終確認を自分がやっている、という感じですね。

　けん制し合うのは、緊張感を維持する意味もあり、同時に互いの抜け漏れをチェックできるので、大変有効な仕組みだと思います。道筋さんが上流で脆弱なところをつぶしてくれないと、出荷前検査で大変なことになってしまいますよ。だからむしろありがたいです。両方とも、危ない製品を出荷するのを防ぐという意味では同じ仕事ですね。でも、道筋さんにはそれだけではなく、セキュリティ機器類の計画や導入という重要な仕事が別にもありますよね」

　道筋がうなずく。

　「そう。これはセキュリティだから万全を期している、ということではなく、製品の品質に関わることだ。システム開発時にも同じことがいえる。今や、セキュリティは製品品質の一部だ。スケジュールが切迫しようがコストが膨らもうが、品質を落として出荷するなんて、僕から見ればあり得ない」