見出し画像
Photo by teruki1

【情報セキュリティ回 #22】できるから、とシステム破壊したらイカン

やす かわはら

先日、冗談のような話を本当にやっちゃった人がいたので思わずポストしたんですが、

記事によると、

大英博物館で館内のシステム担当だった人が、
解雇?されて
その翌週に館内に不正に侵入して、
社内システムを壊しまくった

って事案が発生。

記事によると、壊しまくった、ってのが
システムの破壊
物理的なケーブルの切断

とかだったとのこと(2025/1/26 時点)

おかげで博物館の営業は大混乱らしいです。
2/2時点、完全復旧の記事は日本語では見当たりません。

情報システム部門は、企業経営を混乱させることはできる


うすうすみんなわかってて、
声に出してはいないけど

情報システム部門の人が、
悪意を持って行為に及べば

社内のシステムを壊せるし、
社内のネットワークを寸断できるんです。

色々具体的な方法を書けるんですけど、
書いてマネされることは望んでないから
書かないです。でも、

できちゃうんです。


じゃあ、なぜできちゃうのか。

それは、「管理者権限」をもつIDを使えるから。

です。

管理者権限について少し解説すると、

サーバやシステムのメンテナンスをするために
あらゆる操作をできてしまう権限を持つ、
IDとパスワードを業務として使ってます。

それ以外の人たちは、誤って操作できないように
メンテナンスできない権限で普段使ってもらっています。

起きては欲しくないんですが、
今回のような不正があった場合に、誰が操作したかをすぐに特定できるように、

管理者権限を使える人は、
該当サーバで2人~数人、とか
ほんとに限定的。

中には企業規模や担う担当範囲によっては、
1人しか知らない会社もあるとは思います。

さらに操作ログを残して、普段の業務でも
不正な操作とかを調査・追跡できるような
仕組みを備える企業が数多くあります。

万が一に備え、
管理者権限を利用できる人を限定
その操作履歴のチェック

を実施して、不正な操作をけん制しています。


大事なのはスキルよりも倫理感


結局は人が行う行為。
大丈夫だろうと思いつつも、

今回の事例のように、発生しないとも限らないんですよね。

わざと(故意に)、ではないけど、
誤った操作を行ってしまった。

な事例は、たまに発生して、
そのリカバリを行うことも、現実あります。

いずれの場合にせよ大切なのは

管理者権限を使うことの影響を知り、
故意であろうがなかろうが、
ホントにやっていいかどうか

をビビるくらいに慎重になること

です。

やっていいかどうか、と思うことができれば、
一旦手を止めて、管理監督者や上司に
報告や相談ができます。

思わない人は、
・手順に書いてるからやっちゃおう
・まぁ、バレないでしょ笑
・ボタン、勢いで押しちゃった

みたいな軽いノリでやっちゃうことがあります。

例えるなら、

他者/社に送金する時に、
1ケタ多く入れても気づかず、更に確認せずに
「送信」ボタンをポチっとお手軽に押せる人

これだと、困るんです。ダメなんです。

その行動に対するリカバリが、
呆れるくらいに大変なんです。

想像力の欠如、とかカッコいい言い方じゃなく

めちゃくちゃ大変なんです。再発防止含めて
周囲、果ては利用者すべてに
影響しかねないほどに大変なんです。

だから企業は、
そんな大変な状況を防ぐために、

・二人で作業すること
・事前に上司承認を得ること
・手順を明確にして、当日その手順通りにやるだけにする

などの発生防止策を行います。

それでも起きるときは起きます。

起こしがちなのは、やっていいかどうかの判断が
できない(知識が少ない)人。

本人の悪気の有無とかよりは、
倫理観の知識の有無と、
理解の程度で左右されます。


だから情報システム部門でやることは
倫理観の知識を周知すること。そして
知ること。

専門的な技術的な知識も要るんですけど、

「私たちのボタン押す1つの操作で
 社内が混乱してしまう可能性がある」

ことを知ることです。

きっと、今回のイギリスの例を契機に、
対策をはじめる企業は増えると思うんですが、

物理的な対策と合わせて
倫理観を知る。

ここを実践できる企業が増えたらいいな。
と私は感じています。