工藤伸治のセキュリティ事件簿 第8回 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

工藤伸治のセキュリティ事件簿 第8回

特集 特集

 ※本稿はフィクションです。実在の団体・事件とは関係がありません※

「知りませんでした…いい言葉だねえ。お前ら、サイバーノーガード戦法の人たちか?」

サイバーノーガード戦法というのは、無知、無対策、無責任なセキュリティ対策だ。定常的にセキュリティ対策のコストをかけるよりも、問題があった時に対応した方がはるかに安い。だから脆弱なシステムを放置しても問題ないという開き直りだ。利用者は事件のことなどすぐに忘れるし、賠償責任が発生してもたかがしれているという発想に立っている。コスト計算だけでいうと完全に正しいが、人倫にもとる考え方だ。主に、いまオレの目の前にいる、葛城みたいに無知なシステム屋を揶揄する時に使う。

葛城は、サイバーノーガード戦法という言葉は知っていたらしく、唇を噛んでなにも言わなかった。言い過ぎたかもしれない、少し反省しよう。せっかくのお客さんなんだ。

「それ意外にも、こまごま見つかってるから、後でくわしく見るんだな。がんばれよ」

「ショックです。知りませんでした。いや、それではすまない話だとは思いますが…」

「あんたは、オレのいい客になるな。うれしいよ」

「は?」

「知らなかったでは、すまされないのがオレの客なんだよ。でもさ、実際不可能なんだよ。システムを構成しているハードやソフトはたくさんあって、毎日、いろんなセキュリティホールが見つかってる。ウィルスもある。そんなの全部チェックして、重要度と優先度を判断して、手当するなんて無理なんだよ。だから、やられる。すると、オレに仕事が来る」

「ああ、なるほど、私にとってはありがたくない話ですね」

「それからさ。内部監視ツールがないから、記録がないんだよね。社内の誰がいつサーバにアクセスしてデータをいじったかわからない」

「IDとパスワードを使ったアクセス記録がサーバに残っています」

「それはサーバだけの話だろ? サーバに残っている記録だけじゃだめなんだ。問題はどこのパソコンからアクセスして、なにをしたかってことだ。犯人が他人のIDとパスワードを使っている可能性だってあるだろ」

「内部監視ツールですか…考えたことがありませんでした」

「あんた、わかってる? この手の犯罪は、圧倒的に内部犯行が多いんだよ(註)。内部監視ツールがなけりゃ、これからやってけないよ。あと100万円上乗せしてくれれば、今すぐ導入してセットアップしてあげるよ。バカ安だよ。N電気に頼んだら、一ヵ月かけて見積を出して、ウン千万円っていうぞ」

「わかりました。一時間ください。上長に相談します」

「一時間も待つの? 今、電話しろよ」

「はあ」

【註解】
サイバー犯罪において内部犯行が多いのはよく知られている事実である。システムの開発に携わった方ならご存知と思うが、ひとつのシステムの開発から稼動には、社員、契約社員、外注先などさまざまな組織と人々が関係している。システムの開発において、子請け、孫請けは当たり前、そこからさらに個人に発注されていることもある。さらに本稼動が始まっても、一部の業務を委託している企業は多い。つまり、内部犯行といっても当該企業を中心とした多くの企業までその範囲は広がる。要するに、サイバー犯罪における内部犯罪とは、内部情報に通じた不特定多数と言い換えられるのである。某大手保険会社の個人情報漏えい事件においては、一部業務を委託した海外企業で情報漏えいが起きている。ここまで来ると、従来の「内部」の枠ではおさまりきらない。敵の姿は容易には絞り込めないのである。


【執筆:才式】

関連リンク
さりとてあるまじろ
http://blinedance.blog88.fc2.com/

工藤伸治のセキュリティ事件簿 第1回
https://www.netsecurity.ne.jp/3_15524.html
工藤伸治のセキュリティ事件簿 第2回
https://www.netsecurity.ne.jp/3_15556.html
工藤伸治のセキュリティ事件簿 第3回
https://www.netsecurity.ne.jp/3_15596.html
工藤伸治のセキュリティ事件簿 第4回
https://www.netsecurity.ne.jp/3_15633.html
工藤伸治のセキュリティ事件簿 第5回
https://www.netsecurity.ne.jp/3_15701.html
工藤伸治のセキュリティ事件簿 第6回
https://www.netsecurity.ne.jp/3_15719.html
工藤伸治のセキュリティ事件簿 第7回
https://www.netsecurity.ne.jp/3_15805.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×