【情シス野郎 チラシの裏】は、「情報処理安全確保支援士」資格を持つ情シス担当が、仕事を通して得た知識や技術を、技術面に詳しくない人でも読みやすいよう「チラシの裏」に書くかのごとく書き散らす!というシリーズです。
******
前回記事より2ヶ月、IT(というか情報セキュリティ)に関連する大きなニュースが2件発生した。
・大規模ワクチン接種予約システムの不具合
・Internet Explorer(IE)のサポート期日確定
その他にも多くの企業が不正アクセス被害を受けたというニュースが散見される。発生ペースは分からないが、年金機構のニュースで大騒ぎになった数年前と比較すると、情報漏えいはもはやニュースとして目新しさは無いように感じる。
目新しさが無い=情報は漏えいする。そういうものである。目くじらを立てることではない。
という認識が、もし利用者に根付いてしまうようであれば由々しき問題であるが、一方でセキュリティサービス市場は年間平均5%強の成長を見せていると言われており、企業に求められるセキュリティの取組みは、今のところ緩まる気配は感じられない。
そんな中で報じられた前述の2つのニュースについて、情報セキュリティ的な視点から個人的な感想を述べたいと思う。
******
まずは「大規模ワクチン接種予約システムの不具合」についてだが、ニュースとして大きく報じられているのは、実在しない接種権番号でも予約出来てしまうなどの「虚偽予約」である。
個人情報と紐付けて本人かどうかをチェックする必要があるかと言うと、見解は分かれるところだろうが、少なくとも虚偽予約可能な状態自体は不具合ではなく仕様のようだ。
つまりWebでの本人確認という機能を省略して開発の短期化を図り、可能な限り個人情報を持たないことで情報セキュリティリスクの低減を実現したと言える。
結果として虚偽予約可能ではあるが、利用者が誰も得をしない行為によって足を引っ張り合わないこと、また想定外のトラブルには会場で柔軟な対応を取ること、この2点を前提として運用出来るのであれば、ワクチンの早期大量接種という目的に沿った合理的なシステムだと思う。
******
次に「Internet Explorer(IE)のサポート期日確定」についてだが、これは大事件である。
一般のPC利用者からすると、「IEがなければChromeを使えばいいじゃない」くらいの話であり、「パンがなければケーキをお食べ」よりはよっぽどその通りなのだが、IEでのみ動作保証するサービスを提供するベンダーにとってはフランス革命並みの一大事である。
何故かと言えば、ブラウザはバージョンによってそれぞれ微妙に表示のさせ方や機能が違っており、全てのブラウザとバージョンで動作保証しようとすれば、その数だけテストし、動作が変わる場合には判別して処理を書き換えなければならない。
はっきり言って時間と労力の無駄であるので、ブラウザをある程度制限したうえで最新バージョンのみ対応というのが一般的である。
今でこそChromeが覇権ブラウザだが10年ほど前まではIEが天下を取っており、それ以前に構築されたサービスは、IEのみ対応というケースは珍しくはない。その場合、他のブラウザ利用を想定してシステムを直さないといけないというわけである。
なおサポート期日は1年後の2022年6月であり、なんだ1年もあるじゃん と感じる方もおられるだろうが、全タスクに優先してシステム全体を1年間で見直すことにでもなれば、システムの規模にもよるがベンダーにとっては、やはりフランス革命か黒船来航なのである。
もっとも、IEの後継であるEdgeには「IEモード」なる機能が実装されており、こちらのサポートは2029年までは少なくとも続くらしい。
当面はこちらを使用させるという手はあるが、必要な設定がいつの間にか相当複雑になっており、社内向けなど限定的なサービスを除き、提供ブラウザとして相応しいとは言い難い。
また情報セキュリティ的に、EdgeのIEモードに脆弱性などのリスクが新たに発覚した際にパッチが適用されるのかがとても気になるところである。Edgeの一部として考えれば提供されて然るべきだが、そのあたりはMicrosoftのさじ加減一つでもあるため注視したいと思う。
冒頭に述べたように情報セキュリティのニュースが増えていることは、それに慣れてしまう一因にもなり得るが、同時にこのように重要な出来事として扱われている証明とも言える。
実際、年を追うごとにハッキング等による情報漏えいのニュースは増える一方であり、当社に送られてくる不正メールも増加の一途である。
何の情報も持たずに、ペンタゴンやFBIにキーボードをカタカタ打つだけで侵入出来るのは、映画の中だけであり、現実では侵入するためには必ず事前に必要な情報を窃取している。
そしてその経路は、Webサイトやメールに仕込んだ不正プログラム、または脆弱性のあるサーバーおよびPCのアプリケーションを利用した攻撃のどちらかである。
自分がニュースの当事者にならないためには、怪しいメールやWebサイトを開かない、パスワードを使い回さずブラウザにも保存しない、など基本的なことを遵守しつつ、最新のアップデートを充て続けるしかない、というのは今も昔も変わらないと言える。