第2章 工藤伸治のセキュリティ事件簿番外編 箱崎早希と老いた迷宮

2016/06/06

<前回のあらすじ>
箱崎早希の所属するヘムコシステムに「顧客管理統合システムから顧客データを盗み出す」という犯行予告メールが届く。社内に犯人がいると考えた早希は工藤に調査の相談をするが……。
「工藤伸治のセキュリティ事件簿番外編 箱崎早希と老いた迷宮1」を読む


内部犯行。確かにその可能性は高いってことだよな。オレも同感だ」

「工藤さんもそう思いましたか、ぼけていないようで安心しました」

「ぼけるには早い。内部犯行。それもわざわざ脆弱性を告発するために危険を冒した愛社精神旺盛なヤツの犯行。扱いが難しいから、総務と人事も一緒に検討することにしたってわけだろ」

「慧眼でらっしゃる。高いお金をとるだけのことはあります」

「金相応のことはする。もうひとつ重要なことがある」

「なんでしょう?」

「可能性はそれだけじゃないってことだ」

「他の可能性があるんですか?」

「ないかもしれないが、他の可能性も心に留めておく必要がある。その脆弱性に対処するパッチを当てると、そのせいで別のもっと深刻な脆弱性が産まれることもある。それを知っているヤツが、パッチを適用させるようとしているのかもしれないだろ?」

「なるほど。ルーズな服装と態度からは考えられない慎重な意見ありがとうございます。おっしゃる通りです」

「あんた、素直なんだか、ひねくれてるのかわからないな」

「子供の頃は、『正直さっちゃん』と呼ばれていたから素直だと思います」

「ほんとか?」

「ウソです」

早希はそう言うと、テーブルの上の資料をオレの方に押した。

「今回の事件に関係しそうな情報一式です。ここから真相を導いてください。私はほとんど中におりますので、必要な時に呼んでください」

そう言うと立ち上がる。

「待て。大事なことを忘れている」

せっかちな早希はすでに扉の前まで異動していた。オレは女の後ろ姿が好きだ。小股の切れ上がったいい女という言葉がある。小股が具体的にどこを指すのか諸説あって判然としないが、すらりとした脚と締まった腰を見るとその言葉を思い出す。ラテン系の抜群のスタイルをしているくせに、どことなく昔の女の美しさを彷彿とさせる。

早希は顔だけ振り向いてオレを見た。

「オレはなにをすればいい?」

「真相を解明し、犯人を突き止めてください」

早希はごく当たり前のようにそう言うと出て行った。いくつかのクライアントに勘違いされているが、オレは探偵じゃない。真相の解明も犯人を突き止めるのも本来の仕事じゃない。

せっかくの金払いのいいクライアントを失うのはいやだし、こういう仕事も嫌いじゃない。

ただ、今回はやりにくい。サイバー空間では攻撃者絶対有利の法則がある。攻撃者の目的がわからない以上、かなり広範囲で可能性を検討する必要がある。いっそ攻撃されてからの方がよっぽどやりやすい。

オレはいろいろな可能性をリストアップした。

・未知の深刻な脆弱性のあるパッチを適用させようとした。
・内部の人間がなかなかパッチをあてないことに業を煮やして狂言で犯行におよんだ。
・他の犯行を隠すためにパッチを当てさせようとしている。つまりパッチを当てると、犯行の痕跡が消える?
・愉快犯。脆弱性を見つけて驚かして楽しむだけ。
・本気で犯行予告して失敗した。そこまで間抜けとも思えないが。
・パッチを当てるための作業にともなって発生する『なにか』がねらいである。

最後の可能性の中身がわからない。他のものは比較的対処は簡単だし、事前にわかっていればリスクもさほど大きくない。『なにか』の内容によってはリスクはかなり大きい。

ひととおり、可能性をリスト化したので、オレは資料を読み始めた。

ヘムコシステムは意外と歴史が長く、業務用コンピュータが汎用機なんて名前で呼ばれていた頃から仕事をしていた。その頃のコンピュータのプログラミング言語はCOBOLが中心でかなり原始的なしろものだった。だが、一度作ってしまったものをリニューアルするのは大変だ。

システムの仕事の鉄則の1つは、「動いているものに下手に手を出すな」だ。正常に稼働していても、仕様通りに動いているとは限らない。だから、新しく便利なものが登場しても、継ぎ足しでやりくりしてきた。

そして、気がつくと迷宮のような代物になっていたというよくある話だ。COBOLからJavaまで全部で五つの言語が使われており、さまざまな方法でデータを受け渡して稼働している。ドキュメントはあるものの、それが正しいかどうかわからない。コードを読んで確認しようにも、さまざまな言語やデータ形式がまざっているので、全部を理解できる人間はわずかだ。そのため、専用の担当がひとりいる。ごくろうなことだ。抜本的に見直した方が、業務効率も上がり、コストも下がると思う。

その専任者から口伝のようにして、次の担当者にシステムの維持のコツを伝えているのだという。もちろん、書面になっているが、それだけではわからないことも多いのだろう。そもそも書面に全てまとめられるはずがない。

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(前編)

  2. シリーズ『IDaaSの教科書』4)認証強化の種類とその仕組み

  3. テレワークとIT業務委託のセキュリティ実態調査-IPA

  4. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #2 どうやって守り、その手法は?

  5. ”ウィズコロナ”時代の情シス業務

  6. 【情報セキュリティ10大脅威 2021】ニューノーマルな働き方を狙った攻撃がランクイン-IPA

  7. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #1 セキュリティは何を守るのか

  8. いまさら聞けない【情シス知識】暗号化ファイルのメール添付はなぜ危険!?

  9. シリーズ『IDaaSの教科書』3)徹底解説!SSOの仕組みを理解する

  10. 松田軽太の「一人情シスのすゝめ」#16:RPAやローコード開発を導入検討中の方は要注意

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 多忙な日常業務を送る情シスの皆さん。範囲が広く技術の底が深いセキュリティについて「実は把握できていな…
  2. 多忙な日常業務を送る情シスの皆さん。範囲が広く、そして技術の底も深いセキュリティについて「実は把握で…
  3. WordファイルやExcelファイルなどの編集が終わったら、パスワード付きでZIP圧縮。メールにZI…
  4. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  5. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
ページ上部へ戻る