三菱重工業サイバー攻撃と外注問題
報道ベースで考えれば、今回の発生端緒も先般のソニー同様、既知の脆弱性が狙われ
た可能性が高い。
同社がどういうセキュリティー監査体制を敷いていたのかは判らないが、
少なくとも兵器・原発等の産業参加企業として、関連監督省庁の監査を受ける体制には
なっていない様だ。
今回の攻撃はウイルス感染の可能性が一般利用で散見出来たという事で、その長期・
重篤性は、高くない。
しかし、この程度の脆弱性さえ放置されていたという事実から想定すれば、
長期にわたり、低練度監査を潜り抜け、情報流出・改竄・逸失の危険性に晒されていた
と言って良いだろう。
(勿論、仕事終わりの最後のご挨拶として、ウイルスをお土産に置いていった可能性も
あるだろう)
定期的な内部監査を行う事、外部監査を受ける事が、重要なので言うまでもないが、
金融機関等で内部者に一定期間の休業を義務付けて、不正痕跡がないか審査するとい
う、人的リスクの発想を情報セキュリティー体制の全体像のなかで考慮することが、
重要になってくる事も同様である。
というのも、民間サービス関連業を中心として、
デジタル・データをクラウドという物理・外注に基幹依存する事や、
システムの構築・維持・管理をITゼネコンや監査法人という人的・外注に丸投げ依存
する事が、全く無邪気に行われているという事は、仮想性善説に依存する、
想定外の悲劇に繋がる可能性があるという事だ。
先日、ゲームソフト開発会社のサーバーに、嘗ての契約社員が侵入・工作するという
事案が発覚した。
工作の内容は、報道によっては、データの改竄も含まれた様だ。
動機は評価待遇に不満があったというものだったのだが、
その手法は業務作業終了前に、サーバーに外部からの侵入を可能にする細工を済ませて
あった可能性が高い。
実は他産業界の例に漏れず、所謂IT産業でも契約社員の割合は、普通に!高い。
高校を卒業し、大学に行くよりもこれからは手に職を付けた方が有利だとばかりに、
コンピューター言語やセキュリティー・スキルを専門の学校で身につけた学生が、
いざ卒業となってみるとなかなか正規入社が出来ない。
出来たとしてもこれも他産業同様、若年退社となる。
特に、デジタルの世界は人材の調達がインドはじめ世界レベルなので、
円高は彼らにとっても凄まじい逆風である。
一方、手に職をもたず、ただ高学歴で入社した派遣先の社員は、
彼が開発に参加したシステムを使用して、安穏と正規社員として高額給与を手にしてい
る。となれば、彼らの中から怨嗟の情が生まれて自然だろう。
つまりIT環境は、ハッカー等の外部の人的リスクだけでなく、
内部者や外注先という内部の人的リスクに晒されているという事である。
建設業では、過去、過度の重層請負で、品質や安全に禍根が多かったことに鑑み、
請負体制や責任体制の明確化が法的に義務付けられている。
内部の人的リスクに注目し、丸投げを止め、社内に実践的!統括責任者を置くことは
勿論、外注先の請負体制や派遣社員の与信管理など、
関係人材のトレーサビリティの深化・把握が重要だろう。
組織トップは、情報システム体制を人的要因も含めて、一覧表として把握・熟知し、
事案発生時、何処に問題点があるか、指摘できなければならない。
これからもしかしたら人類が永遠に依存するかもしれない情報セキュリティー体制
を、ブラックボックス化してはならない。
(T)