セキュリティの意味
いつか書こう書こうと、ずっと思っていたこと。 今、アップします。
2年半ほど前、ある大手ベンダーの開発に携わっていた時の話。
- その独立系システム・インテグレータ(SIer)の開発フロアの出入り口には電子ロックが施されていた。
- フロア内から外へ出るのは自由。
- 中に入るためにはICカードが必要。
- 開発に関わる人達には、それぞれICカードが発行されていた。
- しかし、「ICカードの発行枚数に限度がある」という理由で、一部の人達には発行されなかった。
- その代わり、ICカードと似て非なる「紙カード」が配布された。
- プラスチック製のICカードと外見は似ているけれど、ただの紙なので電子ロックは開かない。
トイレは開発室の外にあり、自動販売機は建物の外にある。 1Fエレベータ横にもあったかな、自販機は。
さて、この開発の現場では何が起きていたのか?
- 紙のカードを渡された人達が食事する際、ICカード所有者と一緒に食事へ出かけていた。*1
- トイレに行きたくなった時、ICカード所有者と一緒にトイレに行っていた。*2
- タバコを吸いたくなった時、ICカード所有者にカードを借りてからビルの外に出てタバコを吸っていた。*3
- 開発フロアの入り口付近に設置してある内線直通電話で中の人を呼び出して開けてもらっていた。
- 入り口からケータイで呼び出す人もいた。
- 中から誰かが出てくるのをじっと待っている人もいた。
- ICカード所有者が外から戻ってくるのをずっと待ってる人もいた。
ICカードを持っていない人(=紙きれの人)の人数が少ない間は、それでもガマンできていたように思う。
やがて、
- 開発関係者が増えるに伴い、紙きれ所有者の比率も高まってきた。
- 画期的なアイデアが発明され、暗黙の内に運用され始めた。
- 「コンコン」とドアを叩くと、出入り口付近の席に居る人が中から開けてくれるようになった。
便利なアイデア――誰が指示したワケでもなく、自然と、そうなったんだ。
この現場対応により、ICカードを持っていない人達が中に入れなくて困るといった不具合は減少した。
ただし、深夜0時を過ぎる頃にはフロア内の人数が半数以下に減るので、ドアを叩く音が届かなかったり、中の人が寝てたりして開けてもらえないという悲しいこともあったようだ。
- 無意味なセキュリティ
これは、全く意味のないICカード・セキュリティと言える。
部外者でも、ドアを叩けば中に入れるのだ。 ICカードの意味がない。
孫受け・ひ孫受けのパートナー企業も含め、数百名の技術者が働く中に、スーツとネクタイ姿で侵入すれば怪しまれることはまずないだろう。
KDDI 会社情報: ニュースリリース > お客様情報の流出に関するお知らせ
この↑関連ニュースを見た時、私は驚かなかった。 「やっぱりな、起きても不思議はないな」と思った。
なぜなら、2003年12月当時、DIONの顧客情報管理システムの開発現場は、ドアをノックすれば誰でも入れたのだから。
さらに小野寺社長は「我々としては当時、かなりのセキュリティ対策はやっていたという理解だったが、結果的に不十分だったとことは明らか。
小野寺社長は、「かなりのセキュリティ対策」の実態はご存知なかったと見える。
大手有名SIerが「ICカードの発行枚数に限度がある」などと変なところでケチるから、後で痛い目に遭うのだ、信用を失うのだ。 しかし、本当に迷惑を被るのは顧客側なのだ。
最後に、
今回の流出事件は、データベースにアクセスできる内部の人間による犯行だろう。と、私も考えている。 開発フロアに入れても、システムに侵入するのは簡単ではないから。 もし内部の犯行だったなら、もしかすると、私はその犯人に会ったことがあるのかもしれない。
- 関連記事
BEA Business Review Vol.5:新サービスを次々と打ち出すKDDIの舞台裏
明日は明日の風が吹く - セキュリティ対策をする意味ってあるの?(from ひとりごと)
- 追記
ko-ko-sei nikki 個人情報を漏洩されちゃいましたよ。
↑利用者への金銭面での補償はしないらしいですよ。 金券を払う/払わないにしても、補償額が500円ぽっちというのはYahoo!BBによる価格破壊?の悪い慣例だと思う。