第2章 工藤伸治のセキュリティ事件簿番外編 箱崎早希と老いた迷宮

2016/06/06

<前回のあらすじ>
箱崎早希の所属するヘムコシステムに「顧客管理統合システムから顧客データを盗み出す」という犯行予告メールが届く。社内に犯人がいると考えた早希は工藤に調査の相談をするが……。
「工藤伸治のセキュリティ事件簿番外編 箱崎早希と老いた迷宮1」を読む


内部犯行。確かにその可能性は高いってことだよな。オレも同感だ」

「工藤さんもそう思いましたか、ぼけていないようで安心しました」

「ぼけるには早い。内部犯行。それもわざわざ脆弱性を告発するために危険を冒した愛社精神旺盛なヤツの犯行。扱いが難しいから、総務と人事も一緒に検討することにしたってわけだろ」

「慧眼でらっしゃる。高いお金をとるだけのことはあります」

「金相応のことはする。もうひとつ重要なことがある」

「なんでしょう?」

「可能性はそれだけじゃないってことだ」

「他の可能性があるんですか?」

「ないかもしれないが、他の可能性も心に留めておく必要がある。その脆弱性に対処するパッチを当てると、そのせいで別のもっと深刻な脆弱性が産まれることもある。それを知っているヤツが、パッチを適用させるようとしているのかもしれないだろ?」

「なるほど。ルーズな服装と態度からは考えられない慎重な意見ありがとうございます。おっしゃる通りです」

「あんた、素直なんだか、ひねくれてるのかわからないな」

「子供の頃は、『正直さっちゃん』と呼ばれていたから素直だと思います」

「ほんとか?」

「ウソです」

早希はそう言うと、テーブルの上の資料をオレの方に押した。

「今回の事件に関係しそうな情報一式です。ここから真相を導いてください。私はほとんど中におりますので、必要な時に呼んでください」

そう言うと立ち上がる。

「待て。大事なことを忘れている」

せっかちな早希はすでに扉の前まで異動していた。オレは女の後ろ姿が好きだ。小股の切れ上がったいい女という言葉がある。小股が具体的にどこを指すのか諸説あって判然としないが、すらりとした脚と締まった腰を見るとその言葉を思い出す。ラテン系の抜群のスタイルをしているくせに、どことなく昔の女の美しさを彷彿とさせる。

早希は顔だけ振り向いてオレを見た。

「オレはなにをすればいい?」

「真相を解明し、犯人を突き止めてください」

早希はごく当たり前のようにそう言うと出て行った。いくつかのクライアントに勘違いされているが、オレは探偵じゃない。真相の解明も犯人を突き止めるのも本来の仕事じゃない。

せっかくの金払いのいいクライアントを失うのはいやだし、こういう仕事も嫌いじゃない。

ただ、今回はやりにくい。サイバー空間では攻撃者絶対有利の法則がある。攻撃者の目的がわからない以上、かなり広範囲で可能性を検討する必要がある。いっそ攻撃されてからの方がよっぽどやりやすい。

オレはいろいろな可能性をリストアップした。

・未知の深刻な脆弱性のあるパッチを適用させようとした。
・内部の人間がなかなかパッチをあてないことに業を煮やして狂言で犯行におよんだ。
・他の犯行を隠すためにパッチを当てさせようとしている。つまりパッチを当てると、犯行の痕跡が消える?
・愉快犯。脆弱性を見つけて驚かして楽しむだけ。
・本気で犯行予告して失敗した。そこまで間抜けとも思えないが。
・パッチを当てるための作業にともなって発生する『なにか』がねらいである。

最後の可能性の中身がわからない。他のものは比較的対処は簡単だし、事前にわかっていればリスクもさほど大きくない。『なにか』の内容によってはリスクはかなり大きい。

ひととおり、可能性をリスト化したので、オレは資料を読み始めた。

ヘムコシステムは意外と歴史が長く、業務用コンピュータが汎用機なんて名前で呼ばれていた頃から仕事をしていた。その頃のコンピュータのプログラミング言語はCOBOLが中心でかなり原始的なしろものだった。だが、一度作ってしまったものをリニューアルするのは大変だ。

システムの仕事の鉄則の1つは、「動いているものに下手に手を出すな」だ。正常に稼働していても、仕様通りに動いているとは限らない。だから、新しく便利なものが登場しても、継ぎ足しでやりくりしてきた。

そして、気がつくと迷宮のような代物になっていたというよくある話だ。COBOLからJavaまで全部で五つの言語が使われており、さまざまな方法でデータを受け渡して稼働している。ドキュメントはあるものの、それが正しいかどうかわからない。コードを読んで確認しようにも、さまざまな言語やデータ形式がまざっているので、全部を理解できる人間はわずかだ。そのため、専用の担当がひとりいる。ごくろうなことだ。抜本的に見直した方が、業務効率も上がり、コストも下がると思う。

その専任者から口伝のようにして、次の担当者にシステムの維持のコツを伝えているのだという。もちろん、書面になっているが、それだけではわからないことも多いのだろう。そもそも書面に全てまとめられるはずがない。

関連記事

ピックアップ記事

  1. 情シスは、目まぐるしく移りゆくITトレンドと果たしてどう向き合うべきか? 毎回その道に造詣の…
  2. 「攻めの情シス」が求められるとともに、昨今専任CIOの存在感が高まりを見せています。一方、日本におい…
  3. 『多くの人々の「笑顔」のために「感動」を届ける。』を企業理念に、人材・IT・サービスの3軸で…
  4. 2018/07/09 ITコンサルティング事業を主力とするハイブリィド株式…
  5. 2018/06/20 情シスの現場では「管理会計」というキーワードは、果たしてどのくらい浸透し…
  1. 使える! 情シス三段用語辞典73「IPoE」

  2. 【ET & IoT Technology 2018】序章・ETもIoTも情シスは知っておくべき!?

  3. APIでつながる、新しいクラウドサービス(SaaS)の形

  4. 【情シス×ストレッチ】~第4回~腰痛対策ストレッチ「腰レッチ①」

  5. PCNW【第一回ITトレンド勉強会】RPAに情シスはどう関わるべき?

  6. 【情シス基礎知識】Win10導入、覚えておくべき10の掟

  7. 【情シス基礎知識】知らなかったじゃ済まない「NIST SP800-171」とは?

  8. 【情シス女子】第44回「人と人を紡ぐ『笑顔』をこれからも大切にしていきたい」岡田真由さん

  9. ひとり情シスの功罪

  10. いまさら聞けない【情シス基礎知識】VPNってなに?

関連サイト

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  2. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  3. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
  4. 業務にもようやく慣れてきた。そうなると気になるのが業務の効率化。作業をもっと素早く、ラクにできないも…
  5. 「IOT(コネクテッド・インダストリーズ)税制」の受付が今年6月よりスタートしました。コネクテッド・…
  6. だいぶ普及した感のある公衆無線LAN。外国人観光者はもとより、パケット代に敏感な中高生だけでなく、ビ…
ページ上部へ戻る