第2章 工藤伸治のセキュリティ事件簿番外編 箱崎早希と老いた迷宮

2016/06/06

<前回のあらすじ>
箱崎早希の所属するヘムコシステムに「顧客管理統合システムから顧客データを盗み出す」という犯行予告メールが届く。社内に犯人がいると考えた早希は工藤に調査の相談をするが……。
「工藤伸治のセキュリティ事件簿番外編 箱崎早希と老いた迷宮1」を読む


内部犯行。確かにその可能性は高いってことだよな。オレも同感だ」

「工藤さんもそう思いましたか、ぼけていないようで安心しました」

「ぼけるには早い。内部犯行。それもわざわざ脆弱性を告発するために危険を冒した愛社精神旺盛なヤツの犯行。扱いが難しいから、総務と人事も一緒に検討することにしたってわけだろ」

「慧眼でらっしゃる。高いお金をとるだけのことはあります」

「金相応のことはする。もうひとつ重要なことがある」

「なんでしょう?」

「可能性はそれだけじゃないってことだ」

「他の可能性があるんですか?」

「ないかもしれないが、他の可能性も心に留めておく必要がある。その脆弱性に対処するパッチを当てると、そのせいで別のもっと深刻な脆弱性が産まれることもある。それを知っているヤツが、パッチを適用させるようとしているのかもしれないだろ?」

「なるほど。ルーズな服装と態度からは考えられない慎重な意見ありがとうございます。おっしゃる通りです」

「あんた、素直なんだか、ひねくれてるのかわからないな」

「子供の頃は、『正直さっちゃん』と呼ばれていたから素直だと思います」

「ほんとか?」

「ウソです」

早希はそう言うと、テーブルの上の資料をオレの方に押した。

「今回の事件に関係しそうな情報一式です。ここから真相を導いてください。私はほとんど中におりますので、必要な時に呼んでください」

そう言うと立ち上がる。

「待て。大事なことを忘れている」

せっかちな早希はすでに扉の前まで異動していた。オレは女の後ろ姿が好きだ。小股の切れ上がったいい女という言葉がある。小股が具体的にどこを指すのか諸説あって判然としないが、すらりとした脚と締まった腰を見るとその言葉を思い出す。ラテン系の抜群のスタイルをしているくせに、どことなく昔の女の美しさを彷彿とさせる。

早希は顔だけ振り向いてオレを見た。

「オレはなにをすればいい?」

「真相を解明し、犯人を突き止めてください」

早希はごく当たり前のようにそう言うと出て行った。いくつかのクライアントに勘違いされているが、オレは探偵じゃない。真相の解明も犯人を突き止めるのも本来の仕事じゃない。

せっかくの金払いのいいクライアントを失うのはいやだし、こういう仕事も嫌いじゃない。

ただ、今回はやりにくい。サイバー空間では攻撃者絶対有利の法則がある。攻撃者の目的がわからない以上、かなり広範囲で可能性を検討する必要がある。いっそ攻撃されてからの方がよっぽどやりやすい。

オレはいろいろな可能性をリストアップした。

・未知の深刻な脆弱性のあるパッチを適用させようとした。
・内部の人間がなかなかパッチをあてないことに業を煮やして狂言で犯行におよんだ。
・他の犯行を隠すためにパッチを当てさせようとしている。つまりパッチを当てると、犯行の痕跡が消える?
・愉快犯。脆弱性を見つけて驚かして楽しむだけ。
・本気で犯行予告して失敗した。そこまで間抜けとも思えないが。
・パッチを当てるための作業にともなって発生する『なにか』がねらいである。

最後の可能性の中身がわからない。他のものは比較的対処は簡単だし、事前にわかっていればリスクもさほど大きくない。『なにか』の内容によってはリスクはかなり大きい。

ひととおり、可能性をリスト化したので、オレは資料を読み始めた。

ヘムコシステムは意外と歴史が長く、業務用コンピュータが汎用機なんて名前で呼ばれていた頃から仕事をしていた。その頃のコンピュータのプログラミング言語はCOBOLが中心でかなり原始的なしろものだった。だが、一度作ってしまったものをリニューアルするのは大変だ。

システムの仕事の鉄則の1つは、「動いているものに下手に手を出すな」だ。正常に稼働していても、仕様通りに動いているとは限らない。だから、新しく便利なものが登場しても、継ぎ足しでやりくりしてきた。

そして、気がつくと迷宮のような代物になっていたというよくある話だ。COBOLからJavaまで全部で五つの言語が使われており、さまざまな方法でデータを受け渡して稼働している。ドキュメントはあるものの、それが正しいかどうかわからない。コードを読んで確認しようにも、さまざまな言語やデータ形式がまざっているので、全部を理解できる人間はわずかだ。そのため、専用の担当がひとりいる。ごくろうなことだ。抜本的に見直した方が、業務効率も上がり、コストも下がると思う。

その専任者から口伝のようにして、次の担当者にシステムの維持のコツを伝えているのだという。もちろん、書面になっているが、それだけではわからないことも多いのだろう。そもそも書面に全てまとめられるはずがない。

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  3. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  4. 経営陣から変化を求められる情シス。企業経営にITが欠かせなくなったビジネスの潮流を考えればさもありな…
  5. 2018/06/20 情シスの現場では「管理会計」というキーワードは、果たしてどのくらい浸透し…
  1. 【情シスTips】無線LAN設定、スモールオフィスで忘れちゃいけない5つの項目

  2. 【無料セミナー】セキュリティ・ミニキャンプ in 山梨 2019

  3. 【SORACOM Discovery 2019】IoTだけじゃない、情シス向けSORACOM活用術

  4. 【知っ得言語】「Ruby」~特徴とその学ぶべき理由~

  5. ご存じですか?「テレワーク・デイズ2019」

  6. 【情シスTips】もう怖くない!サービスとして活用するWindows10(第5回)

  7. 使える! 情シス三段用語辞典88「EPP(Endpoint Protection Platform)」

  8. 【徹底比較】Webブラウザ最新事情・2019年版

  9. 【情シスTips】もう怖くない!サービスとして活用するWindows10(第4回)

  10. 入退管理システムにおける情報セキュリティ対策要件チェックリストを公開-IPA

プレスリリース

登録されているプレスリリースはございません。

関連サービス

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. Windows 7サポート終了でWindows 10に切り替わるこの時期、アプリケーションや端末利用…
  2. オラクル(Oracle)による無償サポート終了で今やホットなキーワードである「Java」。自分のPC…
  3. Windowsに無料でついてくるセキュリティソフト「Windows Defender」。わざわざセキ…
  4. 欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情…
  5. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  6. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
ページ上部へ戻る