ウイルスがやってきた


 ウイルスメール対策は、あの手この手のいたちごっこ。日頃からしつこくお願いしているのは、


   怪しいメールは開かずに捨てる


 というもの。日本語が特殊な環境ということもあり、幸いにしてかなりの自衛ができる。しかし、残念ながら、それでも100%では、、、ない。とうとう、やられました。

 ウイルス対策ソフトに登録されていない、いわゆるゼロデイ攻撃。海外からの連絡を待っていた社員が、つい、そのつもりで添付ファイルを開いてしまったのだ。

 そのユーザから、ウイルスメールがすごい量で送信され始めたため、一旦ネットワークから外すことにした。が、実際にはネットワークから外すことにより、その日に終わらせなければならない海外拠点との資料のやり取りが止まってしまうことになり、機会の損失を見過ごすわけにはいかない、と開発部門からはクレームが入る。確かに一般論としては、このようなケースは、必ずしもセキュリティ優先ではないということが言われている。しかし、ウイルスのばらまかれている状況を放置することは、情報システムのサポートをやらされている身としては、見過ごすことはできない。機会損失を最小限に食い止めるために、代替機を提供することで今回はしのいだが、今回のアクションは、役員会で問題になった。ウイルス被害といっても、今回のウイルスは、単に増幅するだけで、データを抜かれたり、DDoSの片棒をかつがされるわけではない。多少トラフィックを喰われるとはいえ、事実上の被害は、単に「感染した」というだけで、ビジネス上の被害はない。そのような時に、時間を争うビジネス上の作業を止める権限は、情報システム部にはない、というもの。確かにその主張には一理ある。なによりも、危機管理計画書に、ウイルス対策の回避軽減策に具体性が乏しすぎたことが反省となった。これを機に、


 まずは回避策、ウイルスを入れないこと。spamも止めるメールフィルタを用意

 クライアントのシステムは常に最新に

 ウイルス定義ファイルも常に最新に


 などが話し合われたらしい。

 伊賀が、「今度は『なんで予算取ってなかったんだ』だってよ。あれだけ金を出し渋ったくせにさ」と、笑いながら役員会から帰ってくる。

 ちょうど、皆が普通にメールを使うのが当然と受け止められるようになってきた。あれだけ予算を絞っていた役員会が「なんでそこの予算を確保していなかったんだ」と言い出す始末だったらしい。まぁ、良い方向にながれるならよしとするか、とグッと言いたいことを飲み込んで、来年のシステムアップグレードの実装計画に頭を切り替えた。

 ただ、いくつかの不安が。

「本部長。セキュリティにお金をかける必要性が理解いただけたことは、とても助かります。ただ、リスク分析は改めて慎重に、多面的に行い、それに基づいたアクションにすべきです。実はいくつか心配な点があります」

 一つずつ説明する。

「システムを常に最新に、という方向性になったとのことです。今も、アップデート用のサーバから配信しています。これは、ウイルスが入り込むセキュリティホールを塞ぐ意味、いわゆるパッチ当てとして大きいことは、報道もされ、よく知られているのは確かです。そのために、そういう議論になったのだと思いますが、パッチには表裏があります。つまり、新たな不具合が発生する可能性が否定できないのです。プログラムは色々と依存しあって動いていますので、そのうち一つに変更が加わると、それが他のプログラムに影響が出ることはよくあります。そのプログラムが、業務プログラムであると深刻です。そのため、現在は、十分な検証作業を行うまでは、システムのパッチはGOサインを出さないようにしていることをご承知おきください」


 実は、自称パワーユーザの営業担当役員である神藤が、先日、プリントができなくなった、とクレームを言って来た。状況を確認の上、最新のシステムパッチがプリンタドライバーと不整合があることがわかり、システムパッチを元に戻すことでことなきを得たが、神藤は情報システム部の「更新は待ってください」の方針を一切無視して最新にしたことを悪びれもしない。やることありき、で、やるリスクとやらないリスクを秤にかけて評価する、なんて思考ができない。経営判断もそういう議論でやられていると思うと、ちょっと暗澹たる気持ちにもなるが、今は、ユーザ第一でグッとこらえて。


「ウイルス定義ファイルは、クライアント側で設定を変えていなければ、今は最新の定義ファイルが自動的に適用される設定にしてPC配付していますので、優先順位は下げて良いと思います。数年以内には、ステータスの一元管理ができる仕組みに持って行くことが望ましいですが、今はまだ大丈夫と思います。先ほどのシステム更新を含め、鍵となる設定は、ある程度強制的にあるべき状態を確保できるようにしてききましょう。ほとんどの会社はそのような管理をしていますし、会社法上のガバナンスの一部としても好ましいです。これは数年計画で進めて行きましょう」

 そして核心にはいる。

「今回の策で、目玉になるのは、メールのフィルタシステムだと思います。最初に設定した時には、メールのフィルタシステムは考慮しませんでした。説明会でも、セキュリティリスクは、各クライアントのリテラシー、つまり、適切な理解を持って作業いただくことに委ねられていることを説明しています。もちろん、人間工学的に上手に引っ掛けてくるようなメールの特徴や注意点の説明も、十分しております。なぜ、フィルタを考えないのか、については、コストの問題がないわけではないですが、コスト的にそれほど難しいものではないんです、実は。一番問題となるのは、ウイルスメールを勝手に削除してしまってよいのか、さらにspam対応まで含めた場合、必要なメールがフィルタされてしまうリスクが高まります。そのリスクをとる判断は、情報システムとしては受容できないとの判断だったということです」

 加賀は牛尾を止めて、

「ここで俺に言ってもわからん、みんなを集めるから、そこで、やるべきこと、優先順位を話し合って決めろ」

 と告げた。


 午後、情報システム部の関係者が集められた。

 今回のメールフィルタで議論になると予想されるポイントは大きく分けて2点。


 1. 無条件での検閲がされること

 2. 必要なメールがフィルタリングされる可能性


 実は、それを見越したわけではないが、通常のICT関係の規定を作るにあたっては、これらは通常盛り込まれる事項であり、すでに説明会で通達済みである。

 検閲については、会社からアサインされている電子メールは、業務のためのものであり、会社が必要に応じ、中身を見ることは可能である。ただし、明確に規定に謳い、周知する必要はあるが、それはすでに終了している。そのため、フィルタリングに必須の「検閲」については、クリアであり、障壁とはならない。最も不安となるのが、必要なメールもフィルタリングされてしまうケース。キーワードでフィルタリングする場合、キーワードが業務関係である場合も否定できない。例えば、学術論文では、雌雄を扱う研究のタイトルにSexという単語は普通に出てくるが、ひどいフィルタツールだと、これでspamと判定されてしまうことがある。

 説明会の際に、「インターネットは確実なツールではない、届かないこともある」、という説明がしてあることは、このようなケースでも想定されている。

 ということで、図らずも、メールフィルタを適用する為に必要となる環境については問題ないと判断できる、との結論となった。幸いにして、AIの走りの時代の今、spam判定が単なるキーワードだけではなく、その使われ方まで考慮されるようになって来ており、False Positiveの可能性は限りなく小さくなったといえるようになった。実は牛尾自身、『自己責任』でフィルタをすることは否定しない。事実、自分のプライベートメールでは、フィルタを設定しているし、設定後はチェックをしないので、本当に必要なメールがフィルタされている可能性も、リスクとして受容することにしている。その為、クリティカルなメールが発生しないよう注意した上で、どうしても必要な場合は、そのアドレスを明示的にホワイトリストに登録する、ということをしている。しかし、一般のユーザに、そこまでの運用ルールを強要することはできない。であれば、混乱を招くより、責任の所在をユーザ本人に委ねるのがベスト、との判断になったわけである。

 しかし、今回のイベント(インシデント)をもとに、会社の中で、フィルタの待望論が持ち上がり、否定的な意見が信じられないほど見られない状況から、牛尾自身も踏み切って良い、との認識にかわっていた。


 ユーザに向けては、改めて

  ・メールは確実なツールではないこと

   さらに、フィルタに完璧を求められないこと

   spamが確実にすべて止めることができるわけではないこと

   必要なメールが誤って止められる可能性があること

 を伝え、業務にあたっては

   メールだけで伝えることは好ましくない

   重要な通知は、電話でも確認を取る、受領の返事をもらうなど考慮

   送りっぱなしは不適


 ということを伝えた。

 予想通りと言うべきか、これに対しての反応は皆無であった。本気でリスクを考えているユーザもなく、そもそもきちんと向き合ってはくれないのだろう。クレーム電話が鳴らないのであれば、こちらとしてはすべき手続きをすべて踏んでいる以上、これ以上は特に動きようもなく、様子を見るしかない。


 ただ、牛尾の中では、次のステップへの布石と捉えていた。

 もともとのインターネットメールは、性善説、お互いに相手を慮って使うツールであった。これは、そういうことが期待できる限られた人しか使えなかったことが大きい。それが、不特定多数で使えるようになってしまったが為に、abuse、眉をひそめるような使い方が問題になってしまっている。であれば、少なくとも業務でつかうメールは、インターネットのインフラの便利さを享受させていただいた上で、その中でクローズドなメールの仕組みで実現する方がよいだろう。その考え方から、すでにアプリケーションのクローズド使用のための暗号化通信、VPNを実装し始めているが、同様にメールも、認証式にしていく時期が来た、と感じていたところであった。


 そんな思いが、待った無しで前に進めなければならないことになろうとは。。。

  • Xで共有
  • Facebookで共有
  • はてなブックマークでブックマーク

作者を応援しよう!

ハートをクリックで、簡単に応援の気持ちを伝えられます。(ログインが必要です)

応援したユーザー

応援すると応援コメントも書けます

新規登録で充実の読書を

マイページ
読書の状況から作品を自動で分類して簡単に管理できる
小説の未読話数がひと目でわかり前回の続きから読める
フォローしたユーザーの活動を追える
通知
小説の更新や作者の新作の情報を受け取れる
閲覧履歴
以前読んだ小説が一覧で見つけやすい
新規ユーザー登録無料

アカウントをお持ちの方はログイン

カクヨムで可能な読書体験をくわしく知る