監視系バックドアという信義則違反
少しばかり専門的な話をします。(ちょっとお怒りモードです)
皆さんがお使いになっているコンピュータサービスは、一般的に皆さんのデータや処理が行われる「本番系」と、その「本番系」が何らかの障害を起こしていないかを監視する「監視系」、「本番系」で本当に使っても良いかテストをする「本番昇格(ステージング)系」、純粋に開発テストを行う「開発系」と存在しています。
実は問題になりやすいというか、責任の所在が曖昧な上に何処か一カ所に一端進入すればどこにでも行けてしまう(こういう状態を、バックドアと言います)のが、一般的な「監視系」のやっかいなところです。
いかに「本番系」で防御を作り込んでも、「監視系」がザルな場合がほとんどでしょう。
今回、日立システムズさんがやらかしたこのがこれです。
日本の企業はベンダと呼ばれる大手のIT企業に、自社システムの開発から維持管理(おもりとも言います)を丸投げの所が多いのですが、この丸投げをすると一番問題になり易いのがこの「監視系」です。
ベンダさんたちは自分たちが一番やりやすく、かつコストが安いようにやります。丸投げ発注者からはブラックボックスなので、当然ですよね?
一般的に日本のITベンダさんたちは、「監視系」ではなるべくどこにでもだれでも行けるようにしておいて、本来的にやるべきファイヤーウォールなどによる顧客や部門ごとの分離や、アクセスコントロールによる「本番系」「監視系」「ステージング系」「開発系」の分離という複雑な機構を省いて、なるべく単純化してどこにでもアクセスできるようにしています。すなわち積極的かつ暗示的に「バックドア」を作り込んでいます。
これをやられると、複数社を同一ITベンダが同じセンタでサービスする場合に、他社での進入被害から自分の所でも進入されてしまうのです。
これ「ちゃんと対応しています」と言うベンダがいても、あまり信用しない方が良いです。ベンダさんたちは「丸投げされているので、お客はわかるわけが無い」「所詮素人にわかるわけ無いから、適当に取り繕っておけば良い」と本気あるいは無意識に考えています。当然定期的な見直しなど、言われなければ絶対にやっていません。ベンダさんたちは、たまに私のような変な奴がいて、かみつくと凄く困惑した表情をします。そして二言目には「それではファイヤウォールを入れます。特別対応なので初期費用がうんぬん、維持費用が年額でうんぬん」と平気でのたまうのです。
私に言わせれば「バックドア」を放置しているのは、信義則違反です。
善良な管理者としての当然の注意義務を怠っているとしか見えません。
↑ ここ重要です!
特にクラウドというブラックボックスになると、この傾向が一層強まります。なぜならコスト勝負だからです。
自分から見えないものは信用してはいけません。
ITに関して自分で判断すら出来なくなったのが、今の大半の日本企業なのでは無いでしょうか。
そこでやらなければならない対応が、国際決済機関が求めている「ゼロトラスト対応」なのですが、これすらベンダはめんどくさいので自分から言い出すことは絶対にありません。
これが日本のワンストップITの実態なのです。
あまり言うと角が立ちすぎるのでこの程度にしておきますが、日本のIT事情をあまり信用しない方が個人的には良いと思っています。
サポートいただき感謝します。いろいろ困難な時ですが、人様のお役に立てる事を考え、行動していく所存です。宜しくお願いいたします。