梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

セキュリティビジネスの難しさ(2)

 Computerも道具だから、それを使った犯罪は初期の頃から存在する。伝説的な話としては、銀行取引のセント以下を自分の口座にいれるプログラムを書いて、発覚しにくい「銀行強盗」を働いたというものもあった。全てが独自システム、手作りだった時代の話である。

 

 サイバーセキュリティという言葉が、専門家の間でだが知られるようになったのは、インターネットや汎用PCが普及するようになってから。そもそも米軍の軍人IDで使われていたネットワークを、誰でも使えるようにしたのだから、ユーザの管理は無理な注文だった。

 

    

 

 産業のインフラと化していた基幹システム(交通機関・金融機関等)にも、汎用PCベースの端末機が入って来た。専用でひとつひとつ開発するものと比べて、圧倒的に安くできる。それはいいのだが、内部仕様が公開されているので、ちょっとした知識があれば誰でも改造できてしまう。悪意を持った改造も可能だ。

 

 ある基幹システムでは端末機の時計を設定し直すことによって、不正が行えることが分かった。時計はMS-DOSという汎用OSの制御下にある。そこでOSの脇に特別なソフトウェアを入れて、普通のユーザには時計を修正できないようにした(いわば管理者権限)。これを売り込みに行くと、

 

・なぜそんな面倒なソフトウェアを入れなくてはいけないのか

・時計が狂ったら、誰でも直せるほうがいいじゃないか

・その上、追加のカネがかかるって!とんでもない

 

 という反応。最後は「君は当社の内部に不正を働く者がいるとでも言いたいのか」と叱られてしまった。顧客の担当者としては「導入の作業も面倒だし予算措置も必要」、とても上司に説明できる内容ではなく、何としても拒否したかったのだろう。今となれば、それも理解できる。

 

<続く>