2007年 02月 09日
CEさんの情報管理
こんなことを書いてる時間はないんですが(明日講演しないといけないのに,まだ資料ができていない),本日サーバの修理に来られたCEさんとつい話し込んでしまいました。

 私が面倒をみているサーバのうち,メーカ保守契約しているのは,Solarisサーバが4台,RedHatのサーバが5台,Windowsサーバが16台。CE保守サービスは基本的に担当会社が決まっていて,マシンの個性もあるので担当CEも原則として決まっています。
 それで顔なじみとなってしまうわけなのですが,この1ヶ月はたまたま別の方が修理に来られました。久しぶりにいつものCEさんとお会いしたので話を聞くと,応援作業でてんてこ舞いだったそうです。

 そこで話が飛んだのが,お客様のマシンの保守用IDとパスワードの管理。サーバ修理を担当されることが多い方なので,管理者権限のパスワードを知ってしまうことがあるそうです。それって良いことではないとCE仲間で話をして,どういう方策を採るべきか,で会社ぐるみで方針を決めているそうです。
 現場から声をあげても,なかなか上はわかってくれないみたいで,「大きな情報漏洩事件が起こってからでは遅い!」と現場のCEさんたちはあせっておられるようです。

 そこで思い出したのが,数年前の某大学での事件。
 パソコン教室にCEさんが手帳を忘れていったのです。忘れ物なので,前の黒板のチョーク受けに立てかけてあったそうです。なかみは記号の羅列なので数日放置されていたそうです。ある学生が,これはパスワード表ではないかと気づいて,すぐに主任教授の部屋に持ち込みました。その学生は「誓って言います。わたしはコピーなんかしていません」といったそうです。
 教授が調べてみると,どうも医療機関や企業のサーバや基幹ルータの管理者パスワードみたいなので,保守会社にすぐに連絡したそうです。
 すると...
 いや,そちらにありましたか。探していたんですよ。見つかってほっとしました。じゃあ,先生,しばらく預かって置いてください。数日後にそちらのほうに仕事があったついでに取りに伺います
という内容の返事だったそうです。
 「おいおい,そんなのんきな事を言ってていいの?」とやんわりと注意したそうですが,注意されたことに気づかないというノー天気さ。
 自分の大学のパスワードもそのような管理をされているのであれば,いつ漏洩するか分からないと危機感をもたれて,私に耳打ちされました。
 わたしも耳打ちされたら,そのCE会社の親会社に「耳打ち」せざるを得ません。今後はしかるべき対処をしてもらう「管理体制」の確立を約束してもらわねば,おちおち修理も頼めないのですから。

 そのときは,メーカの営業担当から営業部長(確か支店長まで)報告がいって,しかるべき対処をしてもらえたのですが,この話は,ぜんぜん古くない話だと思い知りました。

 「ソーシャルセキュリティ」の管理というのは,本当に大変です。
[PR]

by ji3faf | 2007-02-09 00:51 | システム管理


<< 講演終了      子どもたちをのびのびと育てる... >>


にほんブログ村 教育ブログへ




Map