前回、中国からのウェブページ改ざん攻撃に関することを書きました。2001年2月20日に会社に入って来た連絡には、ある会社のホームページが改ざんされたことが当日の新聞で報道されたとありました。私は、その会社のホームページにアクセスしてみて、戦争中のものと思われる虐殺死体の写真に改ざんされているのを確認しました。当日の昼ころのことです。
自社のホームページが改ざんされたことを新聞に報道されて、その日の昼になってもサーバを止めていなかったとは、この会社の危機管理はいったいどうなっていたのでしょうか。侵害を事前に防止するのは容易なことではありませんから、侵害されてしまったことはしかたがありません。しかし、侵害されてしまった時には、サーバをいじれる担当者が誰もいなかったならば、改ざんされたみっともないホームページを世界に見せ続けないために、せめて誰かがサーバからLANケーブルを抜いて通信を遮断するくらいはすべきだったのです(サーバマシンがメールサーバを兼ねている場合はメールも止まってしまいますが、担当者を呼び寄せるまでの緊急策としてはやむを得ません)。管理職が「サーバ管理担当者に連絡を取れないのか!」と何時間も右往左往していて、次善の策を指示するすべも知らなかったという構図が思い浮かびます。
その会社はプリンタのメーカーですが、ウェブページが復旧した今見てみると、「ネットワーク構築部門」のページが準備中になっていました。このことから、ネットワーク構築ビジネスにも進出しつつあるものと推測されます。しかし、自社のサイトのセキュリティ管理もできないような会社にネットワーク構築を発注したくはないと思う人は多いはずです。改ざんされたホームページを長時間さらし続けたことで、この会社は大きな損失をこうむったことでしょう。それを他山の石として自社のネットワークの危機管理の重要性を認識した経営者はどれだけいるでしょうか。
インターネットサイトの運用がきちんとできる人材は、IT(情報技術)関係の企業にさえ、ふんだんにいるわけではありません。特にネットワークセキュリティ対策は、教科書を読めばできるというものではないのです。教科書にない情報を迅速に収集して自発的に対策を判断する力が必要です。上司に命令されなければ動かないような人には勤まりません。誰でも訓練さえすればできるというものではありません。素質があって、なおかつ何年かの経験を積んでようやく一人前のネットワーク管理者として通用するようになるものです。
一人前のネットワーク管理者は、システムの動作状況を日々監視し、サービスプログラムのセキュリティホールなどの情報を入手して迅速に対処します。何事も起こらなくて当たり前。その当たり前を維持するのが大変な仕事なのです。
よく私はたとえ話をします。車で山道を登る場合は、エンジンを止めてもその時の高度は維持されます。つぎ込むエネルギーは、さらに上へ登るために使うことができます。しかし、ヘリコプターで上空へ上がる場合は、エンジンを止めれば落ちます。高度を維持するためだけに多量のエネルギーが費やされ、高度を上げるためにはさらにエネルギーをつぎ込まなければなりません。ネットワーク管理もヘリコプターのようなものです。現状のレベルを維持するだけで多大なエネルギーを使います。エネルギーをつぎ込むのをやめれば、ネットワークは使い物にならなくなり、あるいは攻撃者や無知なユーザーによって破壊されます。
しかし、日々何事もなくネットワークが動いていることのありがたさや、そのためにどれほどの労力が必要かは、ユーザーには理解しにくいものです。ネットワーク管理の重要さを身にしみて理解していない経営者は、優れた技術力を持つ貴重な人材が日々黙々と自社のサーバをメンテナンスしているのが無駄なことに見えてきます。だから、貴重な人材を、直接金になる仕事に回そうとします。そのために自社のネットワークの管理がほったらかしになっているケースはよくあると聞きます。
ネットワーク管理の重要さを理解しない人に限って、何かトラブルがあると右往左往します。ネットワーク管理ができる担当者を呼びつけて、君のせいだと言わんばかりに「早くなんとかしろ!」と責め立てます。私には、その心理はよくわかります。ネットワークのトラブルのせいで、あるいは自分がコンピュータを使う時のミスでトラブルになって、自分の仕事に支障が生じれば、自分に責任がかかってきます。自分でトラブルの回避策や次善の策を講じることができない人は、その状況でパニックに陥ります。そういう人にとって、ネットワークのメンテナンス作業ができる若い担当者はたいてい目下の立場なので、責任を転嫁するにはうってつけの相手なのです。「ネットワークのトラブルを防いだり対処したりするのは彼しかできないのに、彼がそれを迅速にやってくれなかったのだから、自分の仕事が遅れたのはしかたがないのだ」という言い訳で精神的な安定を得ようとします。これもよくあることです。
企業を存続させて社員を養う責任を背負っている経営者にとって、有能な人材を有効に活用するための判断は当然のことです。しかし、目先の収益にこだわって、経営基盤ともいうべき企業内ネットワークの維持をおろそかにするのは、愚かなことです。特に、ITを売り物にする企業が自社のホームページを改ざんされては、信用を失い、それによる無形の損害は計り知れないでしょう。
「ふだん、ネットワークのトラブルなんか起こらないじゃないか。なぜネットワークの管理に人員が必要なのか」というのは、「この町では犯罪は起こっていないじゃないか。なぜ交番に警察官を配置していなければならないのか」というようなものです。トラブルが起こっていないから人員が不要なのではなくて、人員がいるからトラブルが起こっていないのです。危機管理を知らない人は、よく勘違いをするものです。
確かに、金になる技術力を持つ人材を企業内ネットワークの管理だけに張り付けておくのはもったいないことです。しかし、ネットワーク管理ができる人材をほかの仕事に回すならば、いざネットワークのトラブルが起こった時にはほかの人が緊急策を打てるように備えておくべきです。ウェブページが改ざんされたら、サーバをメンテナンスできる人が不在ならばとりあえずサーバからLANケーブルを抜くなど、組織の事情に合わせた最善の作業手順を決めておくこと。また、サーバが止まってメールが使えなくなった時の連絡網をマニュアル化しておくこと。そのような危機管理マニュアルを作れるのは技術をよく知る担当者でしょうが、それを行うように命じて、担当者がそれをできるように配慮するのは管理職の仕事です。自社の社員でできないなら、できる人を雇う(あるいは、遠隔メンテナンスサービスを買う)ことです。万一に備える保険としてどのくらいのコストをかけるかの判断も管理職の仕事です。
私は、「ネットワーク攻撃記録」のページで、私のサイトへの攻撃未遂を公表しています。これは、インターネットではネットワーク攻撃がいかに多いかを知ってもらい、ネットワークを安全に維持する仕事の重要性を広く認識してもらうことを意図したものです。心あるネットワーク管理者の皆さんがわからず屋の経営者を説得するために活用していただければと思います。
また一方、技術力を持つ皆さんは、黙々とシステムをメンテナンスする仕事に埋没することなく、広い視野を持って、仕事の合理化の工夫や、ほかの人の技術力の育成にも努力していただきたいと思います。
付記:ネットワーク攻撃記録の公表はとりやめました。