orangeitems’s diary

クラウド専任の40代インフラエンジニアが書くブログ。新規事業マネージャー。20世紀末の就職氷河期スタート時にIT業界に文系未経験で入りこみそのまま生き残った人。

社内のセキュリティーはだいたい弱い

f:id:orangeitems:20220311124629j:plain

 

時代が時代なので不正アクセスが流行しており、IPAも注意喚起をしているが日々被害が増えている。企業も能天気ではないのでいろいろとセキュリティー対策をしているはずだが残念ながら被害は減らない。なぜなのか。

これは、セキュリティーの考え方が昔ながらだと言わざるをえない。いわゆる外壁はどの企業もしっかりガードしている。セキュリティー製品やサービスを導入しお金をかけている企業もたくさんいる。しかし。いざ社内に入ろうものなら、どのファイルサーバーもアクセスし放題、LANに家から持ち込んだ機械をつないでもバレない。社員がどんなサイトにアクセスしても自由。つまり、外壁は高いけど、入り込んだらやり放題みたいなセキュリティーは多いからだ。

物理的なセキュリティーも結構そうなっている。入口には警備員が立っていたり監視カメラが何台もあったりと、相当に守ってあるが、入館証をかざして一度ビルに入るとどこに行っても問題ない、みたいな設備は多い。

社員の利便性を考えると結構そうなる。社員なのにいちいち部屋を変えるたびに認証しなきゃいけなかったり、お作法を破ると警備員が飛んできたりすると働きにくい。制度設計した当初はしっかりしていたけど、例えば空調がよくないからといってドアを開けっぱなしにしたり、警備モードを切ったりする。そうやって内部はどんどんゆるゆるになっていくのは人間社会のお決まりなのかもしれない。

システムの話に戻れば、いくら社内を厳重に強化したところで、管理しているのは情シス社員である。この情シス社員に、役員が「なんでこうなってるの、使いにくいじゃない」と一声かけようものなら開けざるを得ず、一方で口答えしようものなら「業務命令が聞けないのか」と恫喝されたりする。「な、問題ないだろ」と役員が設定変更後にほくそ笑み、やってられるかと腐る情シス社員も多い。

この役員を焚き付けるのも事業部門の社員であることもあり、仕事にならない。やりにくい。生産性が下がる。この連発である。何かセキュリティー強化をしようものならすぐに不満が上がる。こんな状況で、社内のセキュリティーはどんどん穴が開いていく。

しかも、穴が開いてもしばらくは何にも起きないのである。その後また穴がどんどん開いていくことになるが、だんだん過去の事情も皆忘れてしまう。「なぜか空いている穴」は会社の誰も気が付かない。ある日新しい情シス担当が設定を見て「何でここ空いているんだろう」と思っても、これまた埋めるのが大変だ。なぜそうなったのかがわからないし、埋めた途端に誰か飛んできて「業務上に!!!支障が!!!」と言ってくるかもしれない。

・・・といういろんな会社でこんな状況と思うが、そこにどうやって忍び込むか。これは、今は電子メールがトレンドだ。電子メールで社員をどうにか騙し、添付ファイルを開けさせる。これで完成だ。社内から外に対してはかなりフリーアクセスの会社は多い。社内に踏み台を作るのだ。攻撃者はこの踏み台を足掛かりに会社中のシステムを調べ、中から情報採取したり攻撃したりする。その中で別の穴も見つかれば、そこも外からアクセスできるようになる。そうやってみな、やられている。

だから、そう、電子メールやめればいいんだよってほんと思う。電子メールが諸悪の根源だ。なんで誰も言わないんだろう。電子メールもうやめてほしい。電子メール最悪。別に電子メールって会社があるわけじゃないんだから、誰に気を遣ってるんだろうね。