工藤伸治のセキュリティ事件簿 第8回 | ScanNetSecurity
2024.04.24(水)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

工藤伸治のセキュリティ事件簿 第8回

 ※本稿はフィクションです。実在の団体・事件とは関係がありません※

特集 特集
 ※本稿はフィクションです。実在の団体・事件とは関係がありません※

「知りませんでした…いい言葉だねえ。お前ら、サイバーノーガード戦法の人たちか?」

サイバーノーガード戦法というのは、無知、無対策、無責任なセキュリティ対策だ。定常的にセキュリティ対策のコストをかけるよりも、問題があった時に対応した方がはるかに安い。だから脆弱なシステムを放置しても問題ないという開き直りだ。利用者は事件のことなどすぐに忘れるし、賠償責任が発生してもたかがしれているという発想に立っている。コスト計算だけでいうと完全に正しいが、人倫にもとる考え方だ。主に、いまオレの目の前にいる、葛城みたいに無知なシステム屋を揶揄する時に使う。

葛城は、サイバーノーガード戦法という言葉は知っていたらしく、唇を噛んでなにも言わなかった。言い過ぎたかもしれない、少し反省しよう。せっかくのお客さんなんだ。

「それ意外にも、こまごま見つかってるから、後でくわしく見るんだな。がんばれよ」

「ショックです。知りませんでした。いや、それではすまない話だとは思いますが…」

「あんたは、オレのいい客になるな。うれしいよ」

「は?」

「知らなかったでは、すまされないのがオレの客なんだよ。でもさ、実際不可能なんだよ。システムを構成しているハードやソフトはたくさんあって、毎日、いろんなセキュリティホールが見つかってる。ウィルスもある。そんなの全部チェックして、重要度と優先度を判断して、手当するなんて無理なんだよ。だから、やられる。すると、オレに仕事が来る」

「ああ、なるほど、私にとってはありがたくない話ですね」

「それからさ。内部監視ツールがないから、記録がないんだよね。社内の誰がいつサーバにアクセスしてデータをいじったかわからない」

「IDとパスワードを使ったアクセス記録がサーバに残っています」

「それはサーバだけの話だろ? サーバに残っている記録だけじゃだめなんだ。問題はどこのパソコンからアクセスして、なにをしたかってことだ。犯人が他人のIDとパスワードを使っている可能性だってあるだろ」

「内部監視ツールですか…考えたことがありませんでした」

「あんた、わかってる? この手の犯罪は、圧倒的に内部犯行が多いんだよ(註)。内部監視ツールがなけりゃ、これからやってけないよ。あと100万円上乗せしてくれれば、今すぐ導入してセットアップしてあげるよ。バカ安だよ。N電気に頼んだら、一ヵ月かけて見積を出して、ウン千万円っていうぞ」

「わかりました。一時間ください。上長に相談します」

「一時間も待つの? 今、電話しろよ」

「はあ」

【註解】
サイバー犯罪において内部犯行が多いのはよく知られている事実である。システムの開発に携わった方ならご存知と思うが、ひとつのシステムの開発から稼動には、社員、契約社員、外注先などさまざまな組織と人々が関係している。システムの開発において、子請け、孫請けは当たり前、そこからさらに個人に発注されていることもある。さらに本稼動が始まっても、一部の業務を委託している企業は多い。つまり、内部犯行といっても当該企業を中心とした多くの企業までその範囲は広がる。要するに、サイバー犯罪における内部犯罪とは、内部情報に通じた不特定多数と言い換えられるのである。某大手保険会社の個人情報漏えい事件においては、一部業務を委託した海外企業で情報漏えいが起きている。ここまで来ると、従来の「内部」の枠ではおさまりきらない。敵の姿は容易には絞り込めないのである。


【執筆:才式】

関連リンク
さりとてあるまじろ
http://blinedance.blog88.fc2.com/

工藤伸治のセキュリティ事件簿 第1回
https://www.netsecurity.ne.jp/3_15524.html
工藤伸治のセキュリティ事件簿 第2回
https://www.netsecurity.ne.jp/3_15556.html
工藤伸治のセキュリティ事件簿 第3回
https://www.netsecurity.ne.jp/3_15596.html
工藤伸治のセキュリティ事件簿 第4回
https://www.netsecurity.ne.jp/3_15633.html
工藤伸治のセキュリティ事件簿 第5回
https://www.netsecurity.ne.jp/3_15701.html
工藤伸治のセキュリティ事件簿 第6回
https://www.netsecurity.ne.jp/3_15719.html
工藤伸治のセキュリティ事件簿 第7回
https://www.netsecurity.ne.jp/3_15805.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

LINE client for iOS にサーバ証明書の検証不備の脆弱性 画像

LINE client for iOS にサーバ証明書の検証不備の脆弱性
Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害 画像

Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害
PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性 画像

PuTTY SSH クライアントの ECDSA 署名処理の実装に脆弱性
WordPress 用プラグイン Forminator に複数の脆弱性 画像

WordPress 用プラグイン Forminator に複数の脆弱性
Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性 画像

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性
Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ 画像

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ

インシデント・事故 記事一覧へ

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導 画像

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に 画像

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
笛吹市商工会へのサポート詐欺被害、調査結果公表 画像

笛吹市商工会へのサポート詐欺被害、調査結果公表
「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に 画像

「相鉄ポイント」引き継ぎで会員情報を取り違え、他の顧客の個人情報が閲覧可能に
NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず 画像

NDIソリューションズの RAG サービスに不正アクセス、個人情報を格納するサービスへの痕跡は確認されず
東京高速道路のメールアカウントを不正利用、大量のメールを送信 画像

東京高速道路のメールアカウントを不正利用、大量のメールを送信

調査・レポート・白書・ガイドライン 記事一覧へ

社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表 画像

社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多 画像

セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査
プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査

研修・セミナー・カンファレンス 記事一覧へ

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談 画像

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

製品・サービス・業界動向 記事一覧へ

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース 画像

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース
情報処理学会、高等学校情報科の全教科書の用語リスト公開 画像

情報処理学会、高等学校情報科の全教科書の用語リスト公開
脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×