内部犯行

少し前の話しになるが、SBMの大規模障害は内部犯行だった。
しかもタイマを仕掛けて不具合を起こすなど手の込んだというか、それっぽい犯行だった。

システムとしての完璧性は作り上げることが出来る。
強固なセキュリティも構築出来るだろう。
しかしそこに人間が介在している以上、そこからの情報漏洩は防ぐことが難しい。

ソフトバンク系では過去にも関係者による情報の持ち出し、オークションIDが売られるなどしていた。
ドコモにしてもドコモショップ従業員による情報の持ち出しがあった。

セキュリティの維持には金がかかる。
一人の人間に多くの権限を持たせないようにすれば、多くの人員が必要になるからだ。
それにしても、一人の人間がタイマ付きの不正ソフトを仕込めるのは凄いなと思う。
凄いというのは仕込んだ人間が凄いのではなく、外注がシステムのその部分までいじれることが、だ。
これでもまだ技術がないことがメリット、技術は買ってくればいいと言い続けられるのだろうか。

SONYの例を見るまでもなく、外部からの攻撃に対する防御も必要だ。
携帯電話系のシステムなどはインターネットと接続されているわけではないが、iモード公式網などのセキュリティがボロボロだった件は記憶に新しい。
インターネットサイトが様々な危機にさらされながら成長してきたのに対して、公式網は「これは起こらないはずだから対策は不要」みたいな考えの元にある。
なのでブラウザの仕様変更一つでも混乱が起きるわけだ。

ドコモやauはスマートフォン時代となっても独自のサービスで囲い込みたいとする。
一つの方法はスマートフォンの機能として何かを実装し、それが専用網にアクセスする仕組みを作ることだ。
しかしこれはセキュリティ的には弱い。
IDやパスワード認証の手もあるが使う側からすると厄介だ。
接続ポイントで判定する方法はspモードで使われているが、これも全ての面で良いとは言えない。