今、gihyo.jpの不正アクセスの件でいろいろと記事がでていますね。
結構他人事ではない事例です。
最近AppleのTouchidの件で、子供が親の指を寝ている間に拝借して突破した件が話題になりましたが、結局のところ、クラウド時代というか高度な機能を持ったシステムに組み込まれている現代では、管理するという事の最後の砦は昔と同じで「管理者自身の心構え」にゆだねられているのかなと思わなくもないです。
例えば、クラウドのコントロールパネルでは多くの場合、ログインユーザの権限を管理するすべはありません。
つまりは唯一のアクセス権限をもった管理者が存在し、コントロールパネルを使う操作について、その権限を誰に委ねるかというYES or NOの判断しか行えないわけです。
当然、作業の都度、一時的ではあれ与えた権限について回収するべく、パスワード変更作業を行うといった最低限の作業は行ったとしても、組織で管理する以上は、複数人がその権限を有し、且つ、その権限の行使について止めるすべはありません。
例えば、多くの金融機関のバンキングシステムでは、管理者と操作者、そして決裁者は別であり、実務担当者が管理者権限を持つことはありませ。
この辺は、皮肉なことに我々の業界が遅れているとしか言えないのですが、とはいえ、徳丸先生のTwitterで念押ししているように、守るすべがないにも関わらず、その効果は絶大で、事実上パスワードというものに頼るしかない非常に心もとないものであるのは否ません。
このような状況では、結果的に権限を与えられた管理者がどの程度その権限の管理であったり、もっと言うと、自分が与えられた権限についての重さを認識し、向き合っていくかという事でしかないのですが、その重さは、昔の単一サーバ・単一アカウント時代と比べるとあまりに重くなりすぎているのは私自身も日々思うところです。
今回のケースでは、皮肉にもさくらインターネットが警告を行った前後で発生しているという事案ですが、別にこれは今までも存在していたリスクで、今後も当然付き合わざる得ないリスクです。
その上、その被害の大きさは、個人の被害とは比べ物にならないもので、それにも拘わらず、実は銀行の口座を守る以上に防ぐことが難しい状況なのは否めません。
セキュリティ対策を強化するすべがそれらと比較して限定されており、実質無策であるという状況ですので
この手口は個人的にはある意味ネット業界にかかわる我々に対する教訓の一つではないかと私は感じています。
それは、日々利便性や安全性について議論し他者の運営するシステムであったり、サービスについてセキュリティ対策の在り方や、運営の在り方など様々なテクニックや方法論を話しつくしているわけですが、実はその足元のリスクを業界全体がいまだに放置しているという事実です。
この時期にたような話として、GMOグループのお名前.COMが広告メールを送信する際に誤送信を行った事例もありました。
あれも同じようなケースです。
この手の問題は、DNSDAYで議論されたDNSWaterTortureの話も同じようなことなのですが、業界の安全性や信頼性を損なわないために、業界としてどういったインフラを構築するかというステージに私は来ているのではないかと感じています。
あるレベルまでは当然管理者や企業が自らの責任で学び努力することが必要ですが、その先についてはもはや防ぐ術であったり、気付くすべがあまりにも限定されすぎています。
もっとも、今回のケースでは気付くべきタイミングはいくつかあったとは思いますが
私たちは、スマホやスマホアプリ、日常生活のサービスに対して常に高いレベルを要求し、そして日々それらは高度化しています。
でもその足元で土台が崩れる日が来た場合、その被害は運営者のみに与えられるものではなく、運営者と利用者が同時に受けてしまう被害であり、それは避けることができません。
そのようなものについて、「管理者の努力」という一言にゆだねるのは、私はもう限界であって、そろそろそういった部分に技術的な措置を講じるべきだし、業界全体でその点ついて積極的に議論していくべきだと思います。
今回起きた問題は、実は管理者やその企業だけが負っているリスクではありません。
そういった基盤上に構築されたサービスを利用するすべての利用者が一緒に背負っているリスクであることを我々は理解し、どう向き合うか考えないといけないのです。
この問題はまさに今のネットインフラの脆さを現実として見せつけた事例であったと思います。