「自分もやってしまうかも」を、やらないために。

 岡崎市立図書館の事件について、シンポジウムの類で色々な立場の人の話を聞いてきた。法律家、セキュリティの専門家、ISP、プログラム開発者、サーバ管理者。どのお話も勉強になった。
 一方で、なかなか表に出てこない声もある。それは個々の図書館員の声だ。きちんと人前に出て語った新出さんは別として、この事件に関心を持っている図書館員の意見はなかなか聞こえてこない。関心を持っている人が少ないんじゃないの?という意見もあるけれど、自分はそれだけが理由ではないと思っている。


 実はこの事件に関心を持っている図書館員の知人何人かに、オフな場で話を聞いてみた。それぞれライブラリアンとしてそれなりのキャリアをお持ちで、かつ勉強熱心な方々だ。だが、この件に関しては皆さん「怖い」と言っていた。自分が同じ状況だったら攻撃だと思ってしまうかもしれない、ひょっとしたら通報してしまうかもしれない、その意味で加害者になってしまうかもしれない、と。

 たとえば、とあるシステム担当経験者の方。「ウチのその手のマニュアルだと、対応の選択肢のわりと上の方に『警察に相談』というのが入っていた」とこっそり教えてくれた。1秒1回のアクセスが多いのかどうかも知らなかったという。マニュアル通り対応したら、同じことになっていたかも知れない。
 あるいは、実際プログラムによる大量アクセスで自館のデータベースが停まったことがあるという方。エンドユーザからのクレームで休日に関係者が呼び出され、システムベンダーのSEは「こういうアクセスする場合は事前に断るものだ、攻撃かもしれない」と深刻な顔。結局プログラム作成者に悪意はなく、ISPを通じて連絡して円満解決したそうだが、その間の「何が起きているのか分からない」という恐怖は忘れられないと言っていた。
 その方々は元来情報システムに詳しかったわけではなく、たまたまそういう業務に配属されている。素人が自力で勉強して、システム管理者の域に達するのはなかなか難しいのではないか、と素人の自分としては思ってしまう。ベンダーSEだけが頼りという場合もあり、よもやその相手に不誠実なことをされているとはすぐ思いつかないだろう。
 他人事ではない、自分もやってしまうかもしれない。そういう不安をリアルに感じている人ほど、簡単にものがいえない。


 では、図書館員は情報処理技術に詳しくなるべきか。もちろんYes。
 だがこの件に関しては、ただ技術に詳しくなればいいというものではないと思う。高木先生が言われていたように、技術の進歩はものすごく速い。1秒2〜3回までは常識的なアクセスと言われたが、来年の常識はまた変わっているかもしれない。素養のない自分のような人間の場合には、最先端の技術を追いかけるよりも、基本的な考え方を身につけた上で、相談できる窓口を知っておく方が現実的だろう。


 ということで、近くの図書館ですこし調べてみた。

実践 情報セキュリティ―人・運用・技術

実践 情報セキュリティ―人・運用・技術

 セキュリティ全般について、それも技術よりも運用する人や組織、体制の方を中心に取り上げている本。2005年とかなり古いので、個々の具体的な技術の話はスルーしてよいだろう(というか、自分が技術に疎いからだけど)が、基本的な考え方はそう変わっていないだろうから参考にはなる。少なくとも、JPCERTのCERTはComputer Emergency Response Team Coodination Centerの略だそうだ、ということさえ知らなかった自分の基礎知識には充分。
 印象深かった一節。

 組織によっては、システム管理者やネットワーク管理者がコンピュータセキュリティに個人的に関心があったり、正規に教育を受けていたりする場合があります。<中略>しかしながら、良い人がいるからといって組織の対応ができているとはいえません。(p329)

 なぜならそうしたボランティア的な対応者は、組織の中でしかるべき権限を与えられていないからだという。ネットワークを切り離すなどの対策をとったり、司法当局や組織内の法務部門に相談する権限がない。あるいは、自組織の情報システムの全体像を把握しているとは限らない。またセキュリティインシデントへの対策が、自社のビジネス全体にどう影響するか理解しているとは限らない…と続く。つまるところ担当者個人の頑張りではなく、マネジメント層の理解が欠かせない。
 技術的な解決だけでなく、法的手段に訴えるための証拠固め、メディア対応、相談先など、運用面での様々な課題を一覧できる。ちなみにこの本での連絡の優先順位はISP→関係当局→CERTになっていたりする。

 攻撃を受けたと最初に感じたとき、一歩下がって全体像を見てください。本当ですか。本当に攻撃が起こっていますか。インシデント対応計画を発動する前に、腰を据えてこの攻撃に立ち向かう気持ちをもってください。(「19-8 インシデントが発生したとき」)

 この言葉、大事。


事例で学ぶセキュリティ運用技術・インシデント対応技術 (NTT R&D情報セキュリティシリーズ)

事例で学ぶセキュリティ運用技術・インシデント対応技術 (NTT R&D情報セキュリティシリーズ)

 こちらも古めだが、具体的なインシデントの事例を想定して、それぞれの局面での注意点を指摘していくという作りが分かりやすい。技術寄りの解説も多いものの適宜すっ飛ばして読んでも差支えない。さきに挙げた「実践情報セキュリティ」は翻訳ものなので、こちらの方が日本の企業の状況には合っていると思われる。
 こちらでも法的追求のための証拠保全、体制構築、情報隠蔽など、技術面に留まらない生々しい話題が出てくる。情報漏洩を防ぐ効果的な対策のひとつは、働く人が満足して働ける環境を作るための人事管理であるとするくだりに、ひょえーと思う。要するに社員に恨まれない会社にすること。二重三重のセキュリティ対策も、いったん中の人に恨まれれば無意味。結局システムを動かすのは人、人を動かすのは経営。だから技術だけでなく経営の問題なのだ。
 そういえばどちらの本でも、情報セキュリティとアウトソーシングとの関係について記述が出てくる。岡崎市では図書館業務を委託していたという話をどこかで聞いた気がするが、委託それ自体は良いことでも悪いことでもない。しかし委託の場合の方が、インシデント発生の際の責任の所在や連絡体制が面倒なことになるだろうとは思う。また、委託スタッフへのセキュリティ教育をどう保障すればよいのかも気になる。請負の場合、スタッフの研修をするのは発注者でなく受注者(委託される会社?)が基本だし。

 で、基本的な考え方ができたところでこれを熟読する、と。

情報処理推進機構「サービス妨害攻撃の対策等調査」報告書について


※2/8追記。エントリ中に挙げた本は自分がたまたま見つけられたもの。もっといい本をご存じの方がいたら、コメントでご教示いただけないでしょうか。素人にも分かって、一瞬では陳腐化しないような基本書が嬉しいです。