13 仮説 - False - b

双海総合医療ふたみそうごういりょうセンター〉と白石に標記された大病院が建っていた。


 カットされたバウムクーヘンのような扇形の白い建物が天空にそびえたつ。晴れわたる空にまみえる巨大な幻影のようである。


 その幻影の最下中央にある自動ドアを、車椅子の患者や看護師、見舞いの者らが幾人も行き来している。その出入口からまっすぐ前に道路が延びていて、その両脇は芝生しばふになっている。パジャマ姿の子どもがはしゃぎまわっており、杖を突いた老婆ろうばが新緑の下でその様子を見守っている。


 双海総合医療センターは、先端医療の臨床支援施設を兼ねた総合病院である。


 国内有数の総合診療医数を誇り、テレビでも何度か紹介されたことがある。


 ゆえに、今回の情報漏洩でセンター側が過敏になるのもうなずける。〈痛恨の医療ミス! ハッカーの魔手に掛かった有名病院!〉や〈名にあぐらをかいた杜撰ずさんな個人情報管理体制を問う〉などと記事にされてしまうと、病院の信用は地の底へと失墜しっついしてしまう。


 テレビ放映されたことがあるという実績が逆風となって、印象を悪化させてしまうのだ。そうなると病院経営は大打撃を受け、瞬く間に目もあてられない収益になるだろう。なんとしてもそれだけは避けなくてはならない。


「で、いったいどう補償してくれると? 原因は特定できたんですか?」


 運用・保守業者が詰める部屋で、日鳴ひなる側の星葉ほしば梯亜てぃあ蔵本くらもと峠町とうげまち、院長をはじめとする病院側の面々が向かい合って座っていた。脇のほうの席には、現在病院で運用を担当している者らが二人いる。


 この場では、さすがに星葉も軽い調子とはゆかず辟易へきえきしていた。


「すみません、本日ご訪問させて頂きましたのは、その調査のためでございまして……」


 蔵本がしどろもどろに弁解する。


 これに対して剣呑けんのんな顔をしていた、病院側の情報システム担当らしき男が怒鳴る。


「それはどういうことですか? 事が発生してから一週間、いまだに原因がわからないじゃ済まされませんよ! こちらわね、が起こした情報漏洩について記者会見しなければならないんですよ!」


 男は「あなたたち」という部分をことさら強調した。


「このたびは病院に多大なるご迷惑をおかけし、誠に申し訳ございません。日鳴グループの代表として深くおび申し上げます」


 星葉が頭を下げる。


「いやいや、日鳴さんねぇ、こちらは別に謝意が聞きたいわけではないんですよ。我々も長い間、御社おんしゃとの薬剤取り引きをさせてもらってますからね。この不祥事ふしょうじを機に鞍替くらがえなんて考えたくないんですわ」


 病院長は眼鏡めがねを人指しゆびで上げると、日鳴製薬との薬剤の発注にまで言及した。情報漏洩を起こしたのは子会社の日鳴イノベーションサービスだが、その責任は親会社がとるべきだと言わんばかりだ。


 情報システムの発注は薬剤の発注とは無関係だが、牽強付会けんきょうふかいして大企業としての補償を希望すると言っている。


 たしかに、親会社と子会社が別々の案件で同じ組織と契約しているというのは、組織どうしの癒着が疑われかねない。メディアの指摘を少しでもかわすためにも、薬剤取り引きの停止を暗に打診しているのだ。


 院長の声音は静かなほうだが、彼の主張を冷静に分析すると、狡猾こうかつな性格が垣間見かいまみえる。


「そうです、そうです、今日は院長がので良かったですが、こう突然訪問されるとこちらとしてもいろいろ大変なんですよ、わかります?」


 先程の男が追撃する。


 組織のトップとはいえ、手前の人間を引き合いに出すときに、その人間の動作を敬語で表現するというのはいささか不自然だ。院内の階級構造ヒエラルキーがよくわかる。


 そのトップの焦点が自分の意見と異なることをみてとると、サッと手の平を返したのだ。情報漏洩の原因特定について追及する構えだったが、すぐに院長に同調させた。ついでに、今日の訪問の仕方についてもとやかく言い始めたのだった。


「これが、運用担当者用の端末ですね」


「ちょっと、君、勝手に!?」


 梯亜が会議を抜け出して端のほうに在る運用端末をいじり始めた。


 マウスを動かして、カラフルな輪がうねうねと三次元的に動きまわって軌跡をえがくスクリーンセーバーを解除する。すると、パスワード入力を促すサインイン画面が現れた。どうやら、端末を操作せずに数分放置しておくと、スクリーンセーバーが自動で起動して画面をロックする設定になっているようだ。今の梯亜のように、運用担当者以外の者が端末に触れて操作することを防止するのが目的だろう。


 また、端末筐体きょうたいはセキュリティワイヤーによって机に固定されており、容易に持ち運びができないようになっている。


「すみません、どなたか運用の方、OSのサインインパスワードを入力してもらってもいいですか?」


 この問いかけに、運用担当者の一人が身を動かしかけた。


 が、病院側の雰囲気を感じとってそれ以上動き出せなかった。


 けれども、星葉がこちらを見て頷いたので、そろそろと動いて梯亜のもとへと歩み寄った。


「ちょっと!!」


 その星葉と運用担当者の行動を目にして、病院側の男が怒りをあらわにする。


 しかし、院長が男を手で制する。


「分かりました、日鳴さんのやり方はなんですね?」


 唐突なアポイントメントや会議の途中で勝手に作業を進行させる態度が、強引だと言いたいのだろう。


「ならばこちらも御社のやり方に乗らせて頂きますよ。今日中に原因を特定して対応策を考えてもらえない場合は、システム運用と来期以降の薬剤の発注を見直すことにします」


 院長は今まで特定できなかった原因が今日になってポンッと判明するはずもないと考えていた。


 また、仮に特定できたとしても、対策を打ち出すことはかなり難しい。まず、何よりも世間的に説得力のあるでなければならないからだ。武装に値する論理を打ち出せるとは思えなかった。


 それらが可能なら記者会見なんておそるるに足らずだ。


 星葉は、運用担当の男にあれこれ指示を出す梯亜の様子を尻目しりめに見て、口を開いた。


「ええと、実は対策についてはすでに――」


「――原因が判りました」


 星葉の弁解は梯亜の言葉によって遮られてしまった。


 病院側は、梯亜の言葉に耳を疑った。今の今まで――なんていう言葉はもはや風化していた。過去は過去、今は今だ。


「どういうことですか?」


 院長は驚きつつも平静を保った口調で問うた。


「少々経路が複雑ですが、簡単には、ある運用管理ツールの脆弱性ぜいじゃくせいが原因です」


「ん? 運用管理ツールは確か、全て御社の製品ではなかったか?」


「はい、弊社へいしゃの製品です……が、アウトソーシングしてまして開発自体は外部の企業です……」


 蔵本が冷や汗をかきながら説明した。


「そんなこと知ったことではありません。おたくの会社のブランドで提供されたモノなんだから、おたくの責任でしょうに。それと委託いたくと言いましたか? 秘密保持契約は大丈夫なんでしょうな?」


 情報システム担当の男、軽賀かるががさらに揚げ足を取ろうとする。


「は、はい、それはもちろんです――」


「いいでしょう、責任の所在についてはのちほど話し合うとして、まずは根本的な原因の詳細をお聞かせ願えますか?」


 話が進まないとみて、院長が続きを促した。


 梯亜が頷く。


「最初に、脆弱性のあるツールというのは、ログ管理ツールです。取得されたログを解析して統計情報をグラフ化してWebページ上に表示します。もちろん、このページには運用担当者しかアクセスできません。また、グラフの他に、取得したログデータ自体を表示することもできます」


 病院側の面々は、それはあたりまえだろうという顔をした。グラフが見えても、肝心な元のログデータを確認できないという仕様では誰でも承服しかねる。


「問題となるのは、そのログデータがそのまま表示される仕様だという点です」


 この仕様がどういった影響を及ぼすのか気づいた者、まだ疑問符を浮かべている者がそれぞれ入りじっていた。


「様々なログが解析対象となっていますが、Webページが参照された際に出力されるログデータには注意が必要です」


 たとえば、ユーザが病院のWebサイトにアクセスしたときに取得されるログだ。データとして、アクセス日時やユーザのIPアドレス、アクセスしたWebページのURLなどの情報が出力される。


「Webコンテンツを見せているWebサーバ自体はDMZディーエムゼット上にあり、ログデータはそこから内部に隔離されたログ管理サーバに送られているようです。ここまでは安全なネットワーク設計といえますが、送信されてくるログデータに問題がある場合は話が変わります」


 DMZは DeMilitarized Zoneデ・ミリタラズド・ゾーン、日本語では非武装地帯ひぶそうちたいと訳される、ネットワーク設計上の情報セキュリティにおける極めて重要な概念である。軍事用語から転用されたことばで、ここにはインターネットからのアクセスを許容するサーバを配置する。ただし、この場所に配置されたサーバから内部のネットワークへの通信は、ファイアウォールによって厳しく制限される。


「ログデータに問題がある場合と申しますのは、ログデータがWebページ上で効果を発揮してしまう場合です。このとき、ログ管理ツールで当該ログデータを参照してしまうと、攻撃者の用意したシナリオどおりに動かされてしまうというわけです」


「あれ? しかし、Webページを参照した際に出力されるログデータといっても、日時やIPアドレス、URLぐらいではなかったですか?」


 一見影響のなさそうな情報だけなのにどうやって攻撃するのか。しかも、フォームなどからユーザによって入力された文字列もじれつを取ってきているはわけではない。元々こちら側で指定した文字列がログデータとして出力されるはずでは?――と、蔵本は気になって質問していた。


「ふふ、URLですよ。アドレスバーも立派な入力フォームです。URLとして入力された不正なコードによって、ログ管理ツールのWebページは書き換えられ、ログインページもコンテンツも全てが偽物にせものと化します。改竄かいざんされたWebページの要求に従ってパスワードを入力したり、操作を実施したりしたことが今回の漏洩の要因です」


 梯亜は不敵に微笑ほほえんでみせた。


「ん? それはおかしい。当病院のシステムでは、WAFワフを導入しているはずです」


 今度は、軽賀が疑問をていした。


 Webウェブ Application・アプリケーション Firewall・ファイアウォール という、ユーザに対する送信データのチェックシステムがある。悪意あるユーザが不正な文字列をサーバに送りつけようとすると、その通信を自動で拒否する機構だ。


 にもかかわらず、サーバ上にログデータとして保管されていることがせなかったようだ。


たとえWAFで拒否されたとしても、として記録されますからね。通常のWebアプリケーションであれば、エラーとなったものは使用されません。しかし、ログ管理では、なぜエラーとなったのかを追及する必要があります。攻撃者はこのはたらきを逆に利用してデータを記録させ、さらに運用担当者の心理を突いたのです」


 普通のアクセスログであれば、運用担当者も見向きもしないだろう。だが、たくさんのエラーログが蓄積されれば、嫌でも注目せざるを得ない。攻撃の種類としてはCSRFではあるが、そういった運用担当者の心理を利用する手法としてはソーシャルエンジニアリングといえなくもない。


 ――しかしながら、この攻撃者クラッカーは情報セキュリティにかなり精通していますね。このような脆弱性はよくりますが、防衛システムであるWAFの挙動を逆手さかてに取るとはあまり思いつかないものです。


「なるほど、よく分かりました。それでは、対策のほうをご検討頂けますか」


「ええっと、その件なんですが、実はすでにご提案できる案の用意がございまして」


 星葉が言ってのける。


「こちらの資料をご覧ください」と、蔵本がかばんから印刷された資料を取り出す。


 表紙には〈吉田パソコン教室〉の文字がある。教室のガラスにプリントされた文字同様に、青いゴシック体でデカデカと書かれている。資料を見やすくわかりやすく作ることは重要だが、これでは、作成者の美的センスが疑われかねない。


 軽賀も一瞬むっとした表情になった。低水準な資料だという先入観をもってパラパラめくる。


 そして、表紙と二ページ目以降を何度も何度も見返すハメになる。表紙と中身とではそのレベルがまるで違ったからだ。


 そもそもパソコン教室のロゴマークデザインからして、表紙は一体なんだったのだろうと首をかしげたくなるものだった。


 躍動感あふれる、黒、白、金のリキッドが中央で交差しており、グラフィックエディタを販促はんそくする企業のようなデザインの中に、高級感をもたせている。……実際、受講料は高額だが。


 フォントは、表紙のような雑なゴシック体ではなく、線を細めてモダンにしつつもはっきりと認識できる書体だ。


 画像も鮮明であらがない。


 また、ネットワーク構成図は三次元的にえがかれており、半透明の床を階層として立体的で興味深い構造となっている。


 配色は、を意識してか、黒や白を基調とし、アクセントとして金の文字やラインをさり気なく入れている。


 デザインのギャップが埋めきれず、彼らは表紙と中身とを見比べる作業を延々と繰り返すこととなった。


 しかも、この違いについて質問したら負けだと思えて、最後まで誰も何もくことができなかった。


 が、これがずっと頭の隅にあって気にかかり、彼らは肝心な対策の中身をあまり聴いていなかった。


「簡単ですが、以上になります。何かご質問等はございますか?」


「――いや、ちょっと待ってくれ」


 軽賀が待ったをかける。それから慌てて資料を斜め読みして、質問をひねり出す。


「……これは、この装置を導入することが今回の件の対策になると?」


「はい、Etemeniaエテメニアの導入によって、この病院では今後一切のセキュリティ事故が発生しなくなります」


 ――!?


「それはあり得ない。いくらUTMといっても全ての脅威を防ぎきることなどできやしない。そんなことができるなら、世の中にある他のセキュリティ装置は存在意義が失われるでしょう。当病院で入れている特定機能専用製品アプライアンスだって用済みとなってしまいます」


 軽賀が懐疑の念を向ける。


「彼の言うとおり、百パーセントなどというものは存在しない。我々医療の現場においても、すべての患者の病気を完治させることは非常に難しい」


 軽賀の言葉を院長が引き継いだ。


「でも、こうやってボールを投げるとき、落下地点を予測できますよね?」


 梯亜はボールを放り投げる仕草をした。


 三角関数といくつかの係数や物理量で未来なんて簡単に予測できると言いたいようだ。ゆえに、未知の可能性はないと。


「論理が確率を百パーセントに近づけるとでも言いたいのですか? しかし、それは定義の延長に過ぎないのでは? 一と一を足すと二なるように、そう思考の手順が定められているに過ぎないと思いますが」


「一どうしの和算は二である」と教科書に書かれているから誰も疑問をいだくことなくそう


 こう決められたのには、無論わけがある。


 この世界においては、この定義が自然科学の法則と親和性が高かったからだ。


 正の整数において、一の次が三だったら、「一足す一は三」が正解となっていただろう。そして、その数字を決めたのは人だ。院長の指摘どおり定義の延長であり、あたりまえの事実ブルート・ファクトだ。


「たしかにおっしゃるとおりです。現に情報処理の世界では、一足す一は十になりますからね。前提が異なればまた答えも変わってしまいます。では、そのすべてを知ることができるとしたら? 未来が鮮明にみえてくるのではないでしょうか」


 梯亜の言う「一足す一は十」は、情報処理では二進数バイナリを扱うからだ。答えをアラビア数字で表記すると「10」と並ぶためだ。ただし、これを十進数デサーマルに直すと、結局「2」だ。つまり、この並びは「ジュウ」と読まず、「イチゼロ」と読むのが本来である。


 そもそも二進法には十という数は存在しない。また、今はDNAコンピュータなんていう四進法で動く機械があるので、情報処理イコール二進法という概念は段々とすたれつつある。


 梯亜もこのようなことは百も承知だが、子どもの頃からいだいている信念にかかわることなので、譲ろうにも譲れず、阿呆あほな主張を並べてしまったのだ。


詭弁きべんだ! それこそ困難極まるというもの。論点をすり替えないで頂きたい」


 軽賀がわめいた。


 情報セキュリティに関するデータだけを世界中から集めたとしてもその数は膨大ぼうだいだ。とても現実的ではないと軽賀は主張したかった。


「今はビッグデータがあたりまえの時代です。収集さえできれば――」


「――どうでしょう、ここはひとつしてみてはいかがでしょう? 費用は全額弊社が負担いたしますので」


 議論が並行路線をたどりつつあると見て、星葉が割って入った。


「仮導入……ですか」


「院長、この話、乗ってみてはいかがでしょう? それでこのの発言の真偽を確かめてみようじゃないですか」


 軽賀が提案した。


 今まではEtemeniaを疑問視していたが、タダで試験運用をさせてくれるというのなら、話は異なる。


 少女が自信をもって紹介したところで説得力に欠けるが、今回の漏洩の原因を突き止めた手腕と、なぜか星葉がしている点については気になった。彼は少し興味が湧いてきたのだった。


だまされたと思って、どうでしょうか?」


 星葉が院長にもうひと押しする。


「……うーん、軽賀君、分院の移転先につないでみてはどうかな? あそこは今、新規システムの導入中で、本院のネットワークとは確か切り離されていたよね?」


 得体の知れない装置を、いきなり稼働中のネットワークに接続して検証するのは危険だと考えて、院長は慎重になっているようだった。


「はい、ご認識のとおりですが、今から新しい機器を導入することを業者が良しとしないかもしれません」


「そこはほら、軽賀君ならうまくやってくれると期待しているよ」


 院長のこの一言は軽賀を動かすには充分だった。


「はい、もちろんです! 必ずや期待に応えてみせます!」


 途中導入などというものは、設計が堅固に決められている医療機関ではそうそうないことだ。これはだいぶ無理を押し通そうとしているのである。


「実稼働前に確か、侵入試験ペネトレーションテストをする予定だったか。日鳴さん、いかがでしょう、その日に決着をつけるというのは? もし、彼女の言うようにこの製品が絶対の防御を誇るなら、一切の指摘なくクリアしてくれるでしょう」


 第三者機関のおこなう脆弱性検査を活用して、白黒つけようと、院長は提案した。


「それは素晴らしいアイディアです!」


 軽賀が口を添える。


 テストを一度で通過するのは困難だ。人間のつくったものや設定したものには、大抵どこかに不備が存在するからだ。ウィークポイントを突かれれば、たちまちハッカーの侵入を許し、あっという間に情報漏洩につながる。たとえ侵入されなかったとしても、攻撃の温床となるような脆弱性が見つかると、その時点で失格である。


「明日には、分院の新規環境をインターネットに接続する予定だが、ペネトレーションテストの実施日自体は開示されていない。向こう二週間の任意の日だ」


 日付を指定せず、半ば抜き打ち的に検査をするようだ。テストの日があらかじめ分かっていれば即応できるが、実施日不明ではそれも難しい。二週間連続で待ち構えるのはさすがに骨が折れる。さらに、この二週間には休日も含まれているのだ。


 また今回は、外部から分院の新規システムに攻撃を仕掛けて強度を探るらしい。攻撃が通ってしまえば、最悪システムの設計を見直す必要さえ出てきてしまう。


 日鳴側の負った課題は、非常にデリケートで重大なものだった。



  • Twitterで共有
  • Facebookで共有
  • はてなブックマークでブックマーク

作者を応援しよう!

ハートをクリックで、簡単に応援の気持ちを伝えられます。(ログインが必要です)

応援したユーザー

応援すると応援コメントも書けます

新規登録で充実の読書を

マイページ
読書の状況から作品を自動で分類して簡単に管理できる
小説の未読話数がひと目でわかり前回の続きから読める
フォローしたユーザーの活動を追える
通知
小説の更新や作者の新作の情報を受け取れる
閲覧履歴
以前読んだ小説が一覧で見つけやすい
新規ユーザー登録無料

アカウントをお持ちの方はログイン

カクヨムで可能な読書体験をくわしく知る