前回(セキュリティ担当者の本当の仕事)でセキュリティ担当者はユーザの利便性を安全に実現するプロ、という自分の考え方をご報告しました。
この発端となった過去の経験を思い出しました。
冤罪でも嘘から出たなんとやら、そんな危険から身を守ろう、という主旨の内容が本日のご報告です。
かれこれ10年以上前の話です。
当時私は社内インフラのネットワーク・サーバ・PCと全体的に担当していて人手不足のためほぼ一人での担当になっていました。
ある日、
「君、ハッキングとかしとるのか?」
と、同期に突然質問されました。
詳しく聞いていくと、中途入社社員(ユーザ)の一人が「私のPCはハッキングされている、なぜならパーソナルファイアウォール機能にpingブロックと表示されるからだ。」とか言ってて「そんなハッキングできそうな社員は一人しかいないよね?僕の言っていること分かるよね?」と吹聴してまわっているらしい。
で、この吹聴してまわっているところに居合わせた同期の社員、どうにも気になって私に質問してきたらしい。
「で、もう一度質問だけど、ハッキングしてるの?」
いやいやいや、んなわけないでしょ。
だいたい社内システム・インフラ担当者が、もともと管理者権限でアクセスできるリソースであるPCに対してハッキングを仕掛ける意味が分からない。だって正当なアクセス権があるのだから、ハッキングするまでもなく通常の方法でアクセスすればいい。
私の答えはもちろん"ハッキングなんてしてないし、する必要もないです。"という答えになります。
「ふーん。まあでもあちこちで言いふらしているから気を付けたほうがいいよ。」
結局ハッキングした(された)ことを証明するのはログや実際にハッキングされた環境に証拠は残されているけど、ハッキングしていません、という"動かぬ証拠"というものは存在しない。まことに証明が難しいのであります。
実際にこうして吹聴されまわったとしても、私としては何も手が打てない状況でした。
で、手が打てないからせめて、こんな状況になった原因だけでも知っておきたいものです。
どうやら、この被害妄想。どこから発生したかというと、もともと私物PCを社内に持ち込んでいたときに発生した私の応対を逆恨みしたところに遡るらしい。
仮にハッキング被害を触れ回る社員を被害妄想君と名づける。
被害妄想君は中途入社で入社後は例外なく会社PCの割り当てを受けたのですが、これがお気にめさなかったらしく勝手に私物PCを持ち込んで社内業務をやっていた。(当時はそれがなし崩し的に実施できるような風潮があったのと、どうやら彼の後ろ盾には会社の偉い人がついているらしいの。)
そんなある日、別の部署の誰かが、メールに添付されてきたコンピュータウィルスをわざわざダブルクリックして実行してしまい、社内にウィルスメールがばらまかれることになった。さっそく対処に追われた我々システム部門。
システム部門は上司出張中。対処するのは我々平社員のみ。
ま、どうせいつも対処しているのは我々平社員だけなんだから、報告だけ済ませて「いつも通りよろしく。」と返事を受け取って対処を実施することになった
。まずメールでウィルスが拡散しているからメールで連絡しない、とルールで決まっていたので、各拠点に電話で連絡、本社は各部署口頭で連絡し別フロアは内線で連絡。
当時はモバイルなんかないご時世なんで、拠点の担当から不在者には声掛けしてもらえれば一次対処は大丈夫。
一通り連絡が完了したところで警戒体制は完成、というところ。
通常であれば、この後発生したウィルスを調査して動作や問題点、感染PCを保全しつつ業務用PC代替機器を用意する、という手順だが…。
システム部門の同期が耳打ちしてきた。
「おい、あれ、どうするよ?」
みれば最近中途入社した被害妄想君の後ろ姿。
洋梨のようなシルエットで肥え太ったその体の向こうに、小さなPCの画面を見てマウスをポチポチしている姿が見て取れた。
「あれ、会社PCじゃなくて私物PCに社内メール設定してあるんだよね。なんかエライサン(偉い人)からそうするように言われたらしい。」
あ、そうなのね。なんか知らないPC使ってるなぁと思ったら…。あのPCは役員が買ってきた、とかじゃなくて?
「彼の私物らしい。なんか自慢していたから間違いなくて、メールの設定と社内LANにつながるようIP設定だけして引き渡したって言ってたよ。」
それはまずいなぁ。
メールが感染源なので、当然被害妄想君の私物PCにもウィルスメールは飛ぶはずなのだ。しかしウィルス対策が実施できている社内PCに対して私物PCにウィルス対策ができている保証はなくて、それも調べる方法がないということだよね。
ちょっと行ってくるわ。
と、こういう流れで当然彼にも事実を伝えて注意を喚起する必要が出てきた。
とりあえず、事実の話とリスクの話をしないとね。
「社内でコンピュータウィルスが発生しました。申し訳ないのですが、対処が決定し問題が鎮静化するまで私物PCの接続を社内ネットワークから切断し、オフラインで利用してもらえませんか?」
この申し出に被害妄想君は
「え?なんで?僕にはウィルス出てないから。僕は忙しいんだよ。」
冷たい返事。
このころは若かった。大義名分があって、調査・対処段階でこういった協力の要請を拒否されることは一回もなかった。まして全社での対処が必要なコンピュータウィルスの発生であればどの社員も快く協力してくれていた。
社内のみんながこんな友好的だったのでこのつれない返事は意外や意外だったのだ。正直ちょっと動揺が走った。
でもね、私たち二次災害が拡がるのを防がなきゃいけないんですよね。
「お忙しいのは承知しておりますが、ひとまず発生したコンピュータウィルスがどんなウィルスで、どれくらいどうして拡散するか不明な状況なんですね。社内LANでウィルスが拡散しないことを確認できるまで通信を止めてもらえませんか?」
努めて冷静にお願いをする。昔からの文化で社内ではシステム関連の部署に強権発動はないから、あくまでお願いベース。
でも被害妄想君はコチラの都合など意に介さない。
「いや、僕のPCをどう使おうが、僕の勝手でしょ?」
"僕のPC"と言ってるのは"僕の私物PC"ですね。そりゃ確かにどう使おうが勝手だわ。
いま文章に起こすと、この時点で論点がずれ始めているのがよくわかる。
多少感情が揺らぐのを抑えながら、私は説得を続けた。
「いや、これはコンピュータウィルス被害が拡散しないようにするためのお願いですので、PCを使う/使わないは自由なのですが、社内LANを使わない、ということをお願いしたいわけなのです。」
そうそう。我ながらちゃんとした説明、ヨクデキマシタ。
問題なのは通信なんですよ。PCの利用じゃない。
残念。
私は次のセリフには驚愕することになる。
「じゃあ僕のPC使っちゃいけない、ってそういうこと言ってる?」
被害妄想君は突如激昂したのだ。
いやだからそう言ってないジャン…。
「僕の仕事、何か知ってるの?その辺の事務のネーチャンとは違うんだよ。役員直属なんだよ?」
仕事ベースの話なら、こっちの仕事の話も聞いていただきたい。
「仕事の上下、を私がどうこう言うつもりはありませんが、コンピュータウィルスの蔓延は食い止めなくてはいけませんので、通信をしないようにお願いしたいのです。」
激昂した人はこんなお願いじゃ止まらないですよね?
「僕のメールができないことで会社にどれだけ損害があるか分かってる?」
正直そんなに損害はないと思うのだが。コンピュータウィルスのほうが損害大きいよ。きっと。
被害妄想君は止まらない。
「僕のパソコンはウィルスになんかかかるわけがないよ。僕のPC最新OSなんだから。」
なんの根拠もない説明に成り果てている…。OSが最新だからってウィルスに掛かるかどうかはウィルス対策がどうなっているかに依存する。
さらに彼は続ける。
「じゃあ、百歩譲って僕のPCをそちらに渡すとしましょう。Windowsの再インストールから実施して、僕のPCに会社のソフトウェアを入れて対策可能にできるの?」
いやまず要らないから。渡してくれなくていいよ。
でもWindows再インストールして会社のソフトウェアを入れて、そのPCを使わなくなった時にまた消去(Windows再インストール)をするのは、別にやってもいいよ。というかその方がまだましだ。
後で聞いた話だが、特にウィルス対策ソフトを入れていない、という話だったので、ノーガードPCが社内LANにつながるよりは、いっそ対策ができているほうがまだマシだ、といえる。
「それは、かまいませんよ。でもいまはPCが使えるかどうか、ではなく、社内ネットワークで通信するかどうか、が問題ですから、ひとまずLANケーブルを外しておいてもらっていいですか?」
なんだか、話のねじれ方がハンパない。あくまでPCの話をする被害妄想君。
「僕のPCは最先端のOSを使っているんだよ。僕のPCがウィルスにかかるわけないじゃないか。でも、僕のPCを預ければいいってこと?僕のPCを持っていくってこと?」
いやだから、PCはいらないって。もう一度説明するぞ。
「パソコンに青いケーブルが差さっています。これをLANケーブルといいますが、これをウィルスの対処が終わるしばらくの間、外しておいてもらえればいいです。」
最初からそう言ってるつもりだったのだが…。改めてましてLANケーブル抜いてくれ、と。
被害妄想君は分かったか分からずか、青いケーブルを抜いた。
とりあえずこれで社内LANにつながらないから、まあいいよ。
数時間後、こちらからの連絡を待たずして何事もなかったかのようにこの青いケーブルは差されることになる。
右ななめ2つ向こうの事務のお姉さんが気の毒そうにこちらを見ている。
そうだよね?私、気の毒だよね!
後で休憩所で出会った事務のお姉さんに質問した。
はた目からみてあのやり取り、何か私間違っていました?
「間違っていないよね。君は正しいことを言っていた。正しいよ。」
ですよね?なんであんな揉めたんだろう。
「気にするなよ。そういう人なんだから。」
あ、励ましの言葉ありがとうございます。
と、その前に僕の仕事はその辺の事務のねーちゃんとは違う、とか言われてたにも関わらず、正論であると励ましてくれた事務のお姉さんありがとうございます。
結局これは今思えば言葉のすれ違いだったのかなぁと思う。
いま文字にしてみると、完全に会話がかみ合っていないものね。
結局のところ被害妄想君は、怨恨の線が強いな、という結論に至ります。
自分の思い通りにならないことに対する怨恨、とでもいいましょうか。
彼は会社組織で偉い人の後ろ盾を最初から得てしまっているので、自分を特別視してしまったんだと思うんですよね。
身近にそういう人いませんか?
で、自分を特別視してしまったものだから、最終的に唯我独尊になってしまっているんですよね。他者を尊重はしない。
ですが、会社組織は一人では成立しないから個人が寄り集まって1法人を成り立たせているんですよね。一人でできるんなら個人事業主でもフリーランスでもやればいい。会社組織で寄り集まらないとできないことや寄り集まってやったほうが効率がいいことが多いことをやるために、会社は人を採用して雇用している社員全員に給料を支払って事業を運営しているわけです。
で、あれば、他者が何をやっているかと他者が会社のどんな利益を守るためにその行動をしているか、は理解すべきですし、自分自身は会社のどんな利益のために今この行動を取っているか、を説明できるべきですね。
被害妄想君とのやり取りにおける一番の問題は、吹っかけてきた議論が基本ピントがズレてることに加え、こちらの話とかみ合っていないことが問題でした。
油断すれば、明日はあなたがそのような扱いを受けるかもしれません。
また、システム部門の所属であるとシステムや技術の話に終始してしまい、ユーザの行動を制限しがちです。
ただし、何かを強制し納得や合意を得ないまま実施した末に待ち受けているのは、私が経験したような言い掛かりかもしれません。幸い社内で大きく問題になることはありませんでしたが、恨みを買ったシステム部門の人員がこういった言い掛かりをつけられない、ということを保証することは誰にもできないと思います。
しかし、少なくともユーザの納得や合意が引き出せていれば、人間の感情面で「あいつ陥れてやろう。」とまではいかないかなと考えます。「あいつ気に食わない。」ぐらいはあるかもしれませんが。
私は勘違いでユーザと納得や合意が引き出せていなかったようです。善良な管理者であっても勘違いやすれ違いでユーザの納得や合意が引き出せていない、ということは十分に考えられます。
ただし私は不正ではなかった、というところで救われた一面もあります。周囲の大多数は「彼が潔白だよね。」「彼がハッキングなんてしないよね。」ということで認識が一致していたということです。
いつ、貴方は陥れられるか、予見できない以上は、日々・常日頃、自分は清廉潔白です、と言えるような正しさを行動で表明しておく必要があります。日常の節々から清廉潔白が表現できていれば、いざ陥れられたときにも「彼は潔白だよね。」が多数派=世論になります。
さらにいうといくら日常が清廉潔白でも、陥れてやろうとするきっかけが発生した時に皆から恨まれている人は「いい機会だから陥れてやろう。」という多数の悪意によって抹殺されてしまうこともあります。やはり恨みを買わない、ということは重要です。
データの重要性が増す昨今で、そのデータと取り扱うシステム部門は部門としての存在感が薄い(重要な部門ではない扱いになっている)会社も増えてきているかもしれません。
また、ユーザから見ると、口うるさいだけの部門、とあまり理解を得られていないシステム部門も世の中に居るかもしれません。
そういった状況を鑑み、ユーザとシステム部門は関係性を考え直すほうがいいように思えます。
システム部門は押し付けず、ユーザ部門は無理難題を投げつけず、互いに着地点が導き出せるようなコミュニケーションが取れるようになるべきです。
その先に、ユーザ部門とシステム部門の信頼関係が待っています。