WirelessWire News Philosophy of Safety and Security

by Category

近くの人間こそ疑え

2013.01.22

Updated by Mayumi Tanimoto on January 22, 2013, 07:39 am JST

自分の仕事をこそーりと中国の会社に外注していた某社のトップ開発者ボブさんの話題は日本で注目を集めている様ですが、ここロンドンでも「ねえねえあれ読んだ?」とシステム監査人&セキュリティ担当者の間で話題になっております。

このボブさん、40代のファミリーマンで、某社でトップ開発者として大活躍(紙の上では)、年収1500万円以上を稼いでおりました。しかし、仕事の大半は中国の会社に外注し、会社ではネット三昧という単なる社内ニートの様なオッサンでした。

<2ちゃんねらーも真っ青なスーパーエンジニア ボブさんの一日>

9:00 a.m. - 会社に来る。ネット掲示板のRedditを数時間見る。猫のビデオを見る
11:30 a.m. - 昼ご飯
1:00 p.m. - Ebay で物を物色
2:00 p.m - Facebook アップデート、 LinkedIn
4:30 p.m. - 一日の報告とメールの管理 
5:00 p.m. - 家に帰る

この会社がVPNのログ監査をVerizonに依頼した所(そもそもなんで自分の所でちゃんとやってなかったんでしょうかね。。。)たまたま中国からの怪しいアクセスがみつかり、ボブさんの悪事がバレてしまった、というわけです。

この会社のVPNにアクセスするには、二段階認証が必要でしたが、ボブさん、二回目の認証に必要なRSA トークンをフェデックスで中国に送ってしまい、中国のコンサル会社の人がアクセスできる様にしてしまいます。

この事件、様々な事柄を示唆しています。

まず始めに、いくらソリューションを導入しても、内部の人間に色々やられてしまうと不正アクセスや情報漏洩を防ぐのは不可能に近いということです。ボブさんはRSA トークンを中国送ったので、中国の会社は正当な認証を経て会社のネットワークにアクセスしていました。ログを良く見ていなかった会社側がまんまと騙されてしまったわけです。さらに、ボブさんは会社に「物理的」に存在していたので、会社の人々は「まさかあの人が外から不正アクセスさせているわけないだろう」と思ってしまったというわけです。「近くの人間ほど疑え」、という教訓を教えてくれますね。

しかし、内規や契約書で縛ろうが、厳しいポリシーを書こうが、ぎちぎちの研修をやろうが、高価なソリューションを入れようが、内部の人間が悪知恵を働かせると、どうしょもない、ということが良くわかります。結局は、働く人やユーザー個々のモラルに頼る他ないわけです。ITガバナンス、システム監査人、セキュリティ担当には頭の痛い点です。(私の本業の一つはITガバナンスやシステム監査でありますので、つまり、こういうことで毎日頭を悩ませているということです)

次に、ボブさんのような人が、個人で海外へのオフショア開発が簡単にできてしまっていた、ということです。海外の外注先を操ってコードを書かせるのに管理担当者や会社対会社同士の関係なんていらないわけです。ボブさんのような怠け者が「お前これいくらでやっとけ。俺、猫の動画見るの忙しいから」で管理できてしまっていたわけです。さらに、成果物は素晴らしい物でした。つまり、給料の高いボブさん(先進国の人)は開発する必要はない、ということです。これって、先進国の開発者には、恐ろしい事実ですね。この事件の記事を読んで、今から開発者になりたい、と思う若い人はいるんでしょうか。この会社界隈にはボブさんの様に、「勝手オフショア開発」をやっていた方々が「ぞろぞろといる」らしいのですが、「ぞろぞろといる」という時点で、「開発者は先進国の人である必要はない」ということを物語っていますね。

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら

谷本 真由美(たにもと・まゆみ)

NTTデータ経営研究所にてコンサルティング業務に従事後、イタリアに渡る。ローマの国連食糧農業機関(FAO)にて情報通信官として勤務後、英国にて情報通信コンサルティングに従事。現在ロンドン在住。