思ってたより衝撃的だったのでブログを書きます。

顧客ＤＢ開発に関与＝知識悪用し防止措置解除—派遣ＳＥ、逮捕状請求へ・警視庁 - WSJ

外部業者から派遣されているシステムエンジニア（ＳＥ）の男が、情報が流出したデータベース（ＤＢ）のシステム開発に関与していたことが１７日、捜査関係者への取材で分かった。

　警視庁は男が専門知識を悪用し、ＤＢの流出防止プログラムを解除して顧客情報を記憶媒体に複製したことを確認。

これが本当だとすると各所が大騒ぎにならないといけません。ただ、「すわ、セキュリティコンサルに依頼だ！」では、まったく解決になりません。むしろ、振り返って「自社のITマネジメントってどうなっている」を正しく理解した上で「で、これからどうしていく？」ということを考えないといけません。

この事件はセキュリティの問題ではなく、ITマネジメントの問題なのです。

まず「流出防止プログラムがあった」ことは想定されていました。ベネッセはIT業界で参考にされるような事例を数多く持っており、僕自身も「きちんとした会社」であると認識をしていました。よって、当然の対策はしているはずなのに、と思っていました。しかし、何重にも対策がしてあったはずです。

なので、僕は以下の2つの可能性を考えていました。

1つ目は「正しい手続きに基づいてデータを持ち出した」という可能性です。データベースはアクセスできなければ活用できません。よって、正しい手続きとしてデータを閲覧し、それを他システムに連携するようなことが可能であったはずです。この「他システムへの連携」になんらかの穴があり、それを利用して外部ネットワークに大手を振って持ち出しを行っていた可能性がありました。

2つ目は「複数の防止プログラムがありながら、何らかの低レベルな抜け道があった」という可能性です。たとえばバックアップデータには容易にアクセスできた、とか。

上記の2つは「セキュリティ対策が不十分であった」という結論であり、なんらかの追加対応を行うことで解消ができます。つまり、「ベネッセはある程度はちゃんとしていたが漏れがあった」ということになります。

ですが、「内部の人間によって流出防止プログラムが解除された」となると話は別です。どういう仕組みかは分かりませんが、文章からは単なるクライアント側のコピー防止プログラムだけではなく、なんらかの解除しうる仕組みが存在していて「正しい手続きであっても持ち出しはできない」かつ「低レベルな抜け道もなかった」ということが考えられます。

つまり「十分な対策はしていたが運用に問題があった」ということになります。僕は「扉は頑丈だったが壁に穴があいていた」ということだと思っていたのですが、実際は「扉も壁も頑丈だったが、そっと内側から開けられてしまった」ということだったのです。

これは本件が単純にセキュリティ対策と呼ばれる活動を積み重ねても解消できる問題ではなかった、ことを示しています。

どんなに優れたセキュリティ製品を導入しても、どんなに厳密な運用ルールを適用しても仕組みを知った人間によるハッキングであれば、これを防ぐことは非常に困難です。

これについて「日本のIT業界が外部業者に依存する形なのが良くない」という指摘は的外れです。この構造的な問題は解決できるものではなく、事業の環境要因です。急激に内製化を進めたところでロイヤリティが低い社員が出てくれば同じ問題が起きてしまうでしょう。

ベネッセの流出事件はITセキュリティ対策がどうこうというレベルではなく、セキュリティ対策も包含されたITシステムあるいはデータを、いかにマネジメントしていくのか、というレベルで捉えるべきです。つまり、組織や契約といった会社の活動の中でITをいかに捉えていくのかという問いかけです。

不幸中の幸いとするならば、ベネッセのようなきちんとした会社で、かつ、原田さんの元であれば、おそらく事件の詳細は明らかになるであろうし、なんらかの再発防止策も提示されるであろうことでしょう。

続報を待ちつつ、ITマネジメントが企業にとってのブランドや信頼に関わるような問題であることを噛みしめておきたいと思います。