Labels

hotel (64) android (47) mac (46) ubuntu (27) English (8) travel (6)

Sunday, October 9, 2011

三菱重工ウィルス感染事件に思う

恐らくだけれど、工場の主要なPCやサーバーはインターネットに接続していなかったはずだ。私の知る限り、この手の工場のPCやサーバーはうるさく管理されていて、「がっちがち」だ。

では、なぜ。

インターネットに接続していないPCは当然だが、アップデートも(自動では)来ない。アップデートはインターネット経由で来るからだ。手動でやる手段はあるが、「そこまで管理しているんだから大丈夫」だと思うだろう。従って、「誰かが」不用意に感染したPCをネットワークにつないだり、USBのウィルスを持ち込んだり、或いは何からの手段でファイアウォールを一旦破られてしまったら、中は大変弱いのだ。

日本の会社では「現場」の意見が強く、「システムは止めてはいけない」と言われたら、それが要件になってしまう。しかし、システムを止めないとメンテナンスはできない(できることとできない事がある)。一旦テストを経てリリースしたシステムは、後生大事にアップデートされないまま運用される。アップデートなどして不具合が出るとシステム部門が責められるからだ。

今回の件も「システム運用体制の不備」とかなんとかで決着するのだろう。そして対症療法的に、より厳しい「がっちがち」のセキュリティ基準が降ってくる。
しかし、

「年に4回程度のメンテナンス日を取り、アップデートの適用とヘルスチェックを行う」
「アップデートに対する(アプリケーション含む)動作テスト工数(+補修工数)を確保する」

としなければ、また再発するだろう。

今回の事件を通じて思うのは、「あぁ、本当の病気みたいだ」と言うことだ。病気に触れないで育つと免疫力が低下する。子供は適当に病気になって、病気と闘う力が身につくのだ。無菌室にいては免疫力が育たないので、一旦病気になると非常に脆弱だ。病原菌の侵入を防ぐことばかりに重点を置いたセキュリティ対策は、いずれ破綻するだろう。インターネットなしで仕事はできなくなっているのだから。

しかし、日本人は水際作戦が好きだなぁ。「絶対に防げない」と言われていた「新型インフルエンザ」も水際作戦だったしなぁ。

No comments: