DX偽典～プロジェクトのセキュリティが崩れる日

始まりの章

そして、いと高きところにて、プロジェクトは始まった。クラウドスペースの要塞が築かれ、多要素認証の門はメンバーのみに開かれた。

機密性、可用性、完全性の三拍子が揃い、プロジェクトは順調に進むかに見えた。

魔軍の襲来

しかし、暗雲立ち込める中、魔軍が現れた。
彼らは低ITリテラシーの魔将軍と、やってるふりセキュリティに呪われし騎士たちであった。

魔将軍の宣言

魔将軍は城門の前に立ち、声高らかに叫んだ。
「使いづらい！新しいものを覚えたくない！これまで問題なかった！」

その声は、プロジェクトの進行を阻む大きな壁となった。

呪われし騎士たちの嘆き

次に、呪われし騎士たちが現れた。彼らは口々に叫んだ。
「外部のサービスにつなげられません！情報システム部が許可してくれません！」

その嘆きは、プロジェクトの進行をさらに困難にした。

そして敗北

戦いに疲れ果てたプロジェクトマネージャーは、誤った決断を下した。
「わかりました、メールでやり取りにしましょう。ファイルにはパスワードをかけて暗号化しましょう」

クラウドスペースの城砦は打ち捨てられ、悲劇への道は開かれた。

そして悲劇へ

機密性の消失

メールのやり取りは延々と続き、いつしか添付ファイルにパスワードがかからなくなった。メールの経路には暗号化されていないサーバーもあった。

そうして、機密性は失われた。

可用性の消失

メールの宛先にメンバー全員のアドレスを入力する作業は、人の手によるものであり、宛先漏れが発生した。

そうして、可用性は失われた。

完全性の消失

各メンバーが参照するローカルデータは新旧が不明瞭になり、全てが最新版になることはなかった。

そうして、完全性は失われた。

クライシスの発生

ある日、プロジェクトマネージャーのもとに一通のメールが届いた。

あなたのプロジェクトの機密情報がネットに上がっているようだ、送るので見て欲しい

プロジェクトマネージャーは愕然として、メールに記載されていたURLを叩いた。

そこには、プロジェクトのある時点でメンバーが送信したらしいメールと、機密情報の入った添付ファイルがあった。

しかし、このメールには見覚えが無かった。よくみると、メールの宛先欄にはプロジェクトマネージャーのメールアドレスが抜けており、代わりにどこかの趣味のメーリングリストのアドレスが入っていた。

どうやら、メーラーのオートコンプリート機能が誤った宛先を呼び出したことに、メンバーが気づかなかったようだ。

プロジェクトは崩壊した。

終わりに

この物語は、プロジェクトにおけるセキュリティと管理の重要性を教えてくれる。低ITリテラシーのメンバーや、組織の「やってるふりセキュリティ」が、どれほど大きなリスクをもたらすかを忘れてはならない。