orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

IPAが制御できないこの国のセキュリティー

f:id:orangeitems:20210519112454j:plain

 

私がIT業界に長くいるのはこのブログに何度も書いていますが、大昔からIPAという独立行政法人がいて、経産省が所轄官庁です。

SIerにおいてはIPAこそコントロールセンターであり、IPAが主管の国家資格、情報処理技術者試験はどの会社でも取得を義務付けたり昇進の条件にしています。

IPAの運営には大手のSIerが積極的に絡んでいて、出ている資料の作成者を見ると大手のSIerの名前がちらほら出てきます。

つまりIPAとSIerは一蓮托生であり、IPAから発信される情報を抑えていれば、SIerとして食べていく限りは十分な情報が得られ活動できると言うことになります。

一方で、今回のワクチン予約サイトの騒ぎで、IPAがコメントを出しています。

 

www.itmedia.co.jp

大規模会場を使った新型コロナワクチンの接種予約システムの欠陥について、IPA(情報処理推進機構)は5月18日、取材に対し「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。

 

世間の声の一部には、「脆弱性どころか素人でもわかるレベルの不具合であり、そもそもこんなレベルで個人情報を扱うシステムを公開するのがおかしい」という意見もあります。しかし、私もIPAの情報安全確保支援士という資格を保持しているのでわかるのですが、やっぱりIPAが言ってることというのは、原則通りだと思いますし、研修等で学習した内容そのままです。違和感はありません。

でもそれは、あくまでも、IPA、引いてはSIerが考えた世界の話で、世間一般になるとここまで齟齬が出てしまうということを今回、知る必要があります。

これって、SIerではない一般企業の情報システム部門であったり、ユーザー企業の顧客と会話していると、感じる感覚と類似しています。

全国民がセキュリティーの専門家であり、IPAの講習を受けていれば、間違ってもそんなことしないよな、ということを一般の人は平気で考えたり行動に移したりしてしまいます。デジタルの世界においては、むしろアナログより証跡が取られやすく、後からほじくり返されて、思ってもみない責任問題に発展するような・・、そんなことです。セキュリティー自体の実装もかなり現代においては進んでいますから、わざわざその網に手をかけてひきちぎろうとするようなことがあれば、後から専門家がトレースして証拠とし、責任を追及しようとするのです。セキュリティーには「守り」の側面ばかりが強調されがちですが、意外と「攻め」も備えていて、後から情報を追い、そして犯人にたどり着き責任を取らせる。そしてそのための法制度もきっちり進んでいるという状況です。でも誰も、そんなこと知りやしませんよね。ワクチン予約サイトだって、何かのアプリやホームページだと言う意識しか、一般の人はしない。

かつ、業界構造の変化もあります。昔は、ITの仕事と言うとSIerが行うのが常識でしたが、最近はシステムエンジニアやプログラマーを正社員にして内製するパターンが台頭しています。SaaSを運営するWebベンチャーや、一部のユーザー企業も挑戦しているようです。大手のSIerが請けて協力会社に仕事を振りプロジェクトマネジメントするような旧来のシステム構築ではありません。SIer対Web系、みたいな対立構造もたまにネットで見かけます。そもそもそんなに対立しているのか、という疑問符はありますが、ただ文化がちょっと違うなという感覚はあります。かつ、SIerや、IPAの方向を明らかに見ていないだろうという動きもあります。

そもそも今回言及しているSIerとは内資企業が基本で、国内の事情を色濃く反映していて最後は経産省につながっています。しかし、もともとのIT文化自体はアメリカ主体であり、国内の独特のIT産業の仕組みを嫌って独自の文化を創造しようと言う動きもあります。

今回のような予約サイトについて、国内のSIerが相当なリスクのある案件だという判断をしたのは想像に難くなく、その結果IPAやSIerの範囲から外れた企業が、これまでの文化を無視して受注し、そしてリスクが体現した可能性を考えています。

いくらIPAや大手のSIerが啓蒙しようとも、国内のIT産業のなかに分断が発生し、リスクオンでとにかく作ってしまう、そんな雰囲気を強く感じているのです。COCOAにしろ、今回の予約サイトにしろ。

政府の中に、ITに関連する部署が複数あって、どうも一元化されていないなと言うところでデジタル庁ができたりして、じゃあIPAは?みたいな複雑な状況が、問題の根本であると思うのです。デジタル庁は作ったものの、IPAを移管してもいないし、内閣府や総務省の中にもITの部門はあります。いろいろ権限移譲について調整中とは聞いていますが。

IT業界、SIer、IPA。伝統的なこの枠組みの外の世界におけるIT利用がどんどん進んでしまったので、どうにもIPAでは統制が取れなくなってるんじゃないかなというのが私の感想です。デジタル庁にIPAの所管を移すぐらいのことをやってくれればわかりやすいのですが、まあそうは、ならないでしょうね(皮肉)。