もう平山さんにしかられるのはごめんだとばかりに、早速、中村君は通信記録を取る準備を始めた。今度は前回のような失敗をしないように周到に準備したい。
まず、止めなければならないのはPtoPによるファイル交換だ。それでなくてもツールの作成者が逮捕されているのに、いつまでも会社でそんな通信をやっていると真面目にまずい。そういうことをやっている社員の大体の目星は付いているが、念のためもう一度通信の量が仕事時間と明らかに異なるようなコンピュータを洗い出しておくことにする。まずはIPアドレスごとの通信量のチェックが必要だった。同時にWebのアクセスも調べることにした。
平山さん 「そういえば、時々見掛けるんだけど、仕事時間中にもヘンなところ見ている人居るでしょう?」
中村君 「ヘンなところですか? 何で見ているんでしょう?」
平山さん 「ほら、ブラウザってヤツ? あれでアダルトサイトを見てる人とか居るらしいのよね。女子社員からちょっと相談されてたりするのよ、セクハラとかで」
そもそも会社の仕事の内容からしても、そんなにWebへのアクセスが必要とも思えない。だが、Webへのアクセスが最近遅いということも聞いている。「もしかしたらファイル交換のせいかなあ」と思っていたのだが、ファイル交換をやっている人たちは、日中はあまり使っていないようだった。
もちろんちゃんと調べてみないと分からないのだが、いままでに把握している限りでは、残業時間中とかが多いように感じられる。Webアクセスの記録はproxyサーバのログをチェックすればよいはずだ。残念ながら本当の通信量とは必ずしも一致しないようだが、それでも大ざっぱな傾向をつかむことはできる。中村君は久保部長に相談した。
久保部長 「しかしあれだな、人の通信を勝手に調べるとかいうのは、プライバシーに触れたりしないのか?」
中村君 「そうですねえ。ログを調べるとだれがいつ何を見ていたのか、すべて分かってしまいますしねえ」
久保部長 「微妙な問題かもしれないな。とにかく後で文句をいわれたくないからな」
中村君 「だれが、というのを出さずに、統計データとして出すだけにしてはどうでしょうか?」
久保部長 「そんなので効果あるのか?」
中村君 「チェックされてることが分かるだけでも効果があると思います」
久保部長の許可は下りた。早速、中村君はデータを集めることにした。proxyのログはanalogというツールを使って集計する。全体の通信量の調査は、前回は失敗したもののやはりtcpdumpをベースに量をチェックする。
analog
http://www.analog.cx/
集計を始めると傾向はすぐに見えた。Webのログを集計してみると、見事にトップ10はアダルトサイトばかりだった。14位にようやく検索サイトが出てくる。試しにアクセス数1位のアダルトサイトにアクセスしてみる。すると、小さなウィンドウが多数開いたり、フラッシュやGIFアニメといった重たい小道具がぎっしり詰まったりしているページだった。トラフィックが重たくなるはずだった。
トップ10のサイトへアクセスしているのはほんの数人のようだ。アクセス元のIPアドレスを調べればすぐに分かる。以前に調査したリストと見比べれば、だれのコンピュータなのかはすぐに分かるはずだ。しかし、それをせんさくするのはあまり意味がない。「チェックされてること」を知ってもらい、その結果として「無用なトラフィックが減る」ことが重要なのだ。場合によっては、「いついつから調べます」というアナウンスを周知徹底するだけでも劇的な効果が期待できる。
久保部長に結果を報告し、トップ10のリストを受付裏の社内で一番目立つところに(お客さんには見えないところだが)貼り出してもらった。すると、その日のうちにアダルトサイトへのアクセスがなくなり、検索サイトがアクセス数一番になった。劇的な効果だった。
中村君 「こんなに効果があるものなんだなあ」
平山さん 「いったでしょ? だれも見ていないと思うから勝手なことやるんで、ちゃんと見ていますよ、と分かればあんまりむちゃはしないわよ」
PtoP通信の記録も、今度はしっかり取れていた。全体的な量を見るとまさしくにらんだとおり、定時後あたりから急激に通信量が増えて、深夜近くまでピークが続いている。会社の業務はそれほど忙しくない。だから残業する必要もそれほどないはずだ。どう見ても怪しいというのがすぐ分かるような証拠だったが、実際どういうふうに通信をやめてもらえばいいのか、というところで、はたと考えた。
中村君 「間接的に通信量を指摘するわけにはいかないかもしれないなあ」
平山さん 「そういうときは上司に告げ口するしかないわね」
中村君 「上司に告げ口ですかあ?」
確かに、やめてもらうにはそれしかないかもしれなかった。とにかくファイル交換ソフトウェアの通信とは厄介なもので、通信されるデータの詳しい状況に応じてファイアウォールでブロックすることが難しい*1。ちょっと知識があればブロックを回避できてしまったりするのだ。「業務と関係がない通信はやめてくださいね」、というしかないようだ。そうすると上司に説得してもらうしかない。久保部長を使う必要がある。
*1実際にはファイル交換の通信をブロックするソフトウェアが存在する
中村君 「部長、ちょっとご相談があるのですが」
久保部長 「おお。この前のWebアクセスの調査、かなり効果があったらしいな」
中村君 「おかげさまで。相談というのはそれと別なんですが、以前お話しした違法コピーのファイル交換の話なんですけど……」
久保部長の判断は早かった。すでに社長から正式にお触れも出ている。それでもやめなかったということは、厳罰に処されても仕方のないところだ。そうなると通信している人間の上司と相談し、処分を決めてもらう必要があるだろう。
久保部長 「相談はしてみるが、この前のように調査結果を発表してみるのはどうなんだ?」
中村君 「はあ、でもIPアドレスとかを公表すると問題になるような気がするのですが……」
久保部長 「じゃあそういう個人を特定するような情報は除いて、ただ単にこういう調査をこういう目的で実施しているぞ、ということを出してみたらどうだ?」
中村君はいわれたとおりに文書を作って、久保部長の名前で公表してもらった。驚いたことにそれだけで効果があった。わざわざ上司と調整するまでもなく、公表された日からぱったり夜間の怪しい通信はやんだのだ。拍子抜けするほどあっけない幕切れだった。先輩風を吹かして圧力をかけられもしたのに。やはり、組織的な姿勢が重要、ということなのだろうか。ある意味覚悟を決めていたのが、なんとなく肩透かしを食らった感じだった。
あっけなかったが、これで目の前の大きな課題はすっきりカタが付いた。よろよろしながらも中村君は成し遂げたというわけだ。ここまでを振り返ってみると、中村君はかなり幸運だったとはいえるだろう。いまも連絡を取り合っている勉強会仲間の話では、もっともっと悲惨な例も多い。それに比べると中村君が直面したケースはまだましだった。
中村君はその幸運をうまく生かしたともいえる。ラッキーだったが必死でもあった、ということだろう。必死になるうえに幸運までもが必要なんて、セキュリティ管理者も因果な商売だ。
いずれまたトラブルが起こるだろう。しかしもはや中村君は「にわか」管理者ではなく、しっかり管理者としての第一歩を踏み出している。きっとそれをなんとかかんとかクリアしながら(クリアできないこともあるだろうが)、成長していくことだろう。
1. ドキュメントは分かりやすく書こう
当たり前だがドキュメントが分かりやすいかどうかで、そのドキュメントの役割をどこまで果たせるか、が決まる。以下のような点に気を付けてドキュメントを書くだけで、分かりやすさは違ってくることだろう。
2. 統計情報を作って公表する手法で、好ましくない利用を抑えよう
特定の個人に直接結び付いてしまうような公表を行うと、いろいろな面で影響が大きく、またその影響は必ずしも好ましいものばかりではない。不必要にトラブルを起こす可能性すらある。
単純に「だれも見ていないわけではなく、ちゃんと行動を見ているんですよ」ということを分からせる程度の情報を公表するだけで、抑止効果はじゅうぶん発揮できるはずだ。
めでたく「にわか」という称号が外れた中村君。作者一同は、中村君の経験が、同じような立場に突然置かれて苦しんでいる世のすべての管理者の役に立つことを願ってやまない。
ご愛読ありがとうございました。
中村君が会議室でドキュメントのまとめ作業をしていた、ある日のことだった。久保部長と平山さんが会議室に飛び込んできた。異色の組み合わせだ。
久保部長 「大変だ。急いで通信の記録をチェックしてくれ!」
中村君 「え? ど、どういうことですか? 何をチェックすればいいんですか?」
平山さん 「ウチの顧客の情報が漏れたらしいのよ」
中村君 「ええっ! 漏れた?」
事態は最悪だった。どうやら中村君の苦難は終わらないらしい。この最大の危機を中村君はどう切り抜けるのか?
(今回で「にわか管理者奮闘記」は最終回です。今後の中村君の奮闘ぶりは、9月より開始予定の新連載をご期待ください)
※ご注意
本記事はフィクションであり、実在の人物・組織などとは一切関係ありません。
Copyright © ITmedia, Inc. All Rights Reserved.