検索
連載

社内SEの忠告もぺいっ!こうしす! こちら京姫鉄道 広報部システム課 @IT支線(14)

情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第14列車は「エンジニアの職業倫理」です。※このマンガはフィクションです。

Share
Tweet
LINE
Hatena
※本記事はアフィリエイトプログラムによる収益を得ています

こうしす!」とは

ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。

その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。

こうしす!@IT支線」とは

「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。


今回の登場人物

akane

祝園アカネ(HOSONO Akane)

広報部システム課係員。情報処理安全確保支援士。計画的怠惰主義者で、有休取得率は100%。しかし、困っている人を放っておけない性格が災いし、いつもシステムトラブルに巻き込まれる

cio

中舟生CIO(NAKAFUNYU Yoshifumi)

広報部長兼取締役CIO。偶然にも山家の上司だったことから、実力はないのに業績を評価され役員となってしまった残念なお方。実権はほとんどないに等しい




第14列車:社内SEの忠告もぺいっ!


















※このマンガはフィクションです。

井二かけるの追い解説

 決済システムの不正アクセス被害が大きな話題となっています。

関連記事

「7pay」で不正アクセス被害 「クレカから勝手にチャージされた」報告相次ぐ 運営元はID・パスワード変更を推奨(ITmedia NEWS)

7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も(ITmedia NEWS)

7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も(ITmedia NEWS)


 今回のテーマは、技術者の声が意思決定に反映されなかったことへの無念さです。

 マンガはあくまでもフィクションです。「7pay」の事例で、実際にこのようなことがあったかどうかは定かではありません。また、不正利用の原因がここにあったと決め付けるのも時期尚早です。この点は続報を待つべきでしょう。

 しかし、7payの基盤となる「7iD」について、少なくとも「オムニ7」サイト上でのパスワード再設定の仕様には、このマンガに類似する問題があったといえます。

 さらなる問題点については、既に多くの専門家から指摘されていますので、他に譲ることにして、本稿では、専らこの「無念さ」について語りたいと思います。

もし技術者の声が反映されていれば……

 今回のニュースを見て、筆者が思い出したのは以下の愛読書です。

 技術者ならば涙なしには読めない書籍です。

 誰かが予兆に気付いていたのに、それは見過ごされ、あるいは握りつぶされ、意思決定に反映されず、結果として世紀の大事故を招いたのです。

 7payのニュースが技術者の間でこれだけ話題になったのは、さまざまな場面で「もしあのとき自分の声が届いていれば」という苦い経験をもつ技術者の多さの証に違いありません。

 問題となった7payやオムニ7の開発に関わった技術者が、誰一人としてこの問題に気付かなかったとは考えづらいことです。なぜならば、これは基本情報技術者試験に出題されているレベルの初歩的な設計ミスだからです。

基本情報技術者試験 H28春 午前問40


 なぜ、技術者の声が経営判断に反映されなかったのでしょうか。さまざまな「SE、PGあるある」が脳裏を過りますが、実際のところは分かりません。

 マンガのように、意思決定者が「指摘事項なし」のセキュリティ監査報告書を誤解し、耳を閉ざしてしまったのでしょうか。「リリース日絶対死守」の大号令のもと、皆が目を背けてしまったのでしょうか。修正に伴う単体試験、結合試験、総合試験、検印スタンプラリーの工数が大き過ぎたのでしょうか。多重下請け構造やグループ会社間の力関係など分厚い組織の壁に阻まれて何も手を打てなかったのでしょうか。職業倫理を忘れ問題点を過小評価するような技術者の声があまりにも大きすぎたのでしょうか……。

 これらは邪推に過ぎません。いずれにせよ、「リリース前に修正すべきである」という声が意思決定に反映されることはありませんでした。もし反映されていたとしたら、きっと少しぐらいは結果が異なっていたことでしょう。

 もちろん、大人の事情が複雑に絡み合ったビジネスの世界において、鶴の一声で全て解決するということはマレです。

 しかし、ひとたび顧客からの信頼を失えば、ビジネス上の大きな痛手になります。こうしたリスクを低減するためにも、セキュリティに関する指摘が自然と集まる仕組み、意思決定に反映させる仕組みを作り、その障害を排除して、うまく機能させなければなりません。これこそがセキュリティマネジメントです。

 従業員や委託先を、荘厳な規定集でがんじがらめにしたり、高圧的な態度で言いなりにさせたりすることがマネジメントではありません。もし重大インシデント発生前に何一つ問題点が指摘されていなかったとすれば、それはマネジメントの失敗です。それは胸を張っていえることなどではありません。

 そして、もし重大インシデント発生後に、技術者の忠告にもかかわらず、組織の壁や大人の事情でシステムを停止できないのであれば、それもまたマネジメントの失敗なのです。

 もし読者のあなたが経営者ならば、いち技術者として、あなたにお願いします。

 幅広く技術者の意見に耳を傾けてください。末端の技術者も「全力を尽くした」と胸を張れるよう、技術者が安心して問題点を指摘でき、また、その声を握りつぶさないような環境作りをお願いします。

 システムに完璧はありません。全力を尽くしても、トラブルをゼロにすることはできません。システムを止めなければならないときは必ずやってきます。いざというときにシステムやサービスを止められるよう、平時から準備してください。事業停止計画の策定も有効かもしれません。

 これらが決して簡単なことではないことは承知の上です。しかし私たちも、トラブルの際に悔しい思いはしたくないのです。

その後……




CIO

ざ、暫定対処として、送付先メールアドレス欄をCSS?というので隠したらどうだろう。ベンダーもそう言っているし





アカネ

それって、見かけだけの修正ですよね。本当に顧客のためになりますか?




素早く修正したという点は評価されるだろ




そうでしょうか




理想的な対策じゃないのは分かるよ? でもビジネスの世界は理想では回っていないからね




理想の話はしていません。最低限の倫理の話をしています




え?




道に開いた穴をうまく隠しても、落とし穴になるだけです。むしろ穴に気付きづらくなり、余計に通行人を危険にさらします。それと同じですよ、見掛けだけの対策は。私の職業倫理として、その対応を行うことはできません




暫定対処だよ。恒久対応というわけじゃない。気軽に悪用しようという輩を排除できるだろう




既にガチ勢に狙われていて、報道によってさらに多くのガチ勢の関心を呼んでいる状況ですよ。今必要なのは穴を隠すことではなく、直ちに、通行止め、つまりサービスを止めることです。どれだけ批判されることになったとしても、技術者倫理や企業倫理を捨ててはいけません




……分かった、分かったよ。俺だって……。とにかく、社長に説明してくるから、停止の準備を進めてくれ




 こうして、姫ペイと京姫鉄道グループ共通お客さまIDのサービスは速やかに停止され、長期のメンテナンスに入りました。想定通り、内外からさまざまな苦情や批判を浴びせられ、行政機関からも多数のおしかりを受けました。

 しかし、あのとき停止の決断をしていなければ、さらに被害は拡大し、補償額も膨らみ、何よりも企業イメージは完全に失墜していたことでしょう。あの決断が、顧客はもちろん、われわれ自身も救ったのです。




 ※これはフィクションです。



こうしす!第3話Part1「セキュリティに完璧を求めるのは間違っているだろうか」(OPAP-JP公式)

Copyright 2012-2017 OPAP-JP contributors.
本作品は特に注記がない限りCC-BY 4.0の下にご利用いただけます


筆者プロフィール

作画:リンゲリエ

「こうしす!」にて作画、背景を担当する傍ら、イラストやオリジナル同人誌の制作といった活動にも取り組んでいます。創作関係のお仕事が増え、ますますお絵描きが楽しくなる日々です。


原作、解説:井二かける

アニメ「こうしす!」監督、脚本。情報処理安全確保支援士。プログラマーの本業の傍ら、セキュリティ普及啓発活動を行う。商業向け新シリーズ「こうしす!EE」にて、小説版の出版が決定し、現在鋭意執筆中。


原作:OPAP-JP contributors

オープンソースなアニメを作ろうというプロジェクト。現在はアニメ「こうしす!」を制作中。


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る