私が勤めていた企業グループでは、伝統的にOBの扱いが手厚い。以前はOBの意向がビジネスに影響を与えるきらいもあったが、それは危機を迎えての構造改革によって払拭(*1)された。私も2度目の定年を迎えているが、昨年から「社友クラブ」という冊子が送られてくるようになった。OBの集まる場、例えば<歩こう会>というイベントや月例会としてある人物の講演を聞く場が設定されている。
今月の月例会は、私より10歳ほど先輩のソフトウェア技術者が登壇される。この方は黎明期からの情報セキュリティ、今はサイバーセキュリティと呼ばれる分野の専門家である。月例会の講話タイトルは、自分の会社人生を総括したり、定年後の趣味を語るケースが多いのだが、この方の場合は「最新のサイバーセキュリティ事情」だったので、拝聴しに行くことにした。
「お久しぶりです」と挨拶をして席に着いた。参加者は10名ほど、事務局をしてくれている現役世代を除けば、私が一番の「ひよっこ」である。ほぼ全員が後期高齢者。講師の方は企業を退職してからも、経産省系の独法や研究機関に勤務し70歳で引退。その後も、特に重要インフラの防御に関してボランティア活動を続けておられる。
お話は、私たちが日ごろ議論していることだったが、いかにかつて専門性の高い技術者・研究者だった人たちとはいえ、難しい内容だったかもしれない。90分の講演とQ&Aの後、数人が残ってフランクな議論になった。そこで、素朴な質問が飛んだ。
・脆弱性って、どうしてあるのだ?
・メインフレームにもあるのか?
主に質問している人は、メインフレーム時代に暗号化ソフトウェアを開発した人だ。議論が錯綜してきたので、私から、
・ただそのソースコードは限定した人しか見られないので、リスクは低い
・いろんなソフトウェアが予期せぬ組み合わせで使われるようになった
・いつ、どこで書かれたかわからないコードが含まれていることもある
と申し上げた。その上で、私自身も「脆弱性」という言葉を当たり前に使い過ぎていたことは反省した。この言葉の意味は幅広く、専門家の中でも違った定義で話し合っていたかもしれないと感じた。ちなみにISO27000では「一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点」だとある。