2005年11月24日

IT担当者のそれぞれの役割



このところのネットニュースではSONY BMGのrootkitと、ワコールの顧客情報流出が取り上げられている。

SONY BMGは日本での影響が少ないせいか、一般紙では見かけていない気がする。asahi.comのサイト内検索でも見つけられなかった。
自分がInstallしたプログラムがどこに入っているかも判明できないようにしている。私は出来るだけC:ドライブにプログラムは入れないようにしているので、Install先を変更できるプログラムで間違ってC:ドライブに入れたらUninstall/Installを行うほどである。

発注元のSONY BMGのシステム担当は、First 4 Internetからどのような説明を受けて、どのようなテストを行ってから、それをCD内に入れることに決定したのだろうか?自分のPCのどこにInstallされたかも判らなくなるプログラムを許可して、決裁を受けたのだろうか?
SONY BMGの社員としての誇りはなくなり、協力会社の言うなりになってしまっていないか、システム担当としての自尊心は。

価格.comがサイバー攻撃にあったと新聞・テレビを賑わしたときからSQLインジェクションを使用したものと報道されていた。今回のワコールもSQLインジェクションだと報道されている。

ワコールのシステム部門、NECネクサソリューションズのワコール担当は価格.comの事件をどのように読んでいたのだろうか?自分たちには関係の無い事だと高をくくっていたのではないだろうか。

「ガイアの夜明け・サイバー攻撃との闘い」で価格.comの社長が悲愴な顔で密着取材を受けていたのが自分たちの社長の顔に見えなかったのだろうか。当時の穐田社長は「会社がなくなってもおかしくない」とまで思いつめていた。

他で被害を受けた時に、自社のサイトは大丈夫かと考えるシステム部門担当者がいて、IT協力会社の自社担当に調査依頼し、そのレポートを受けて内容を吟味する。
これらのようなサイクルが出来ていれば、少なくともSQLインジェクションによる被害は防げたのではないだろうか。

システム部門担当者のチョッとした振り返り、IT協力会社担当者のコーディングの見直し・FixのApply状況の再確認。担当者がほんの数時間から数日振り返って見るだけで、会社の信用を落とすこともなくなるし、自社の社長・役員がTVで頭を下げる絵を見なくてすむようになる。

(2006/02/10)ワコール・NECネクサソリューションズのその後:「教訓はなぜ生かされなかったのか」


https://www.ktservices3.com/

投稿者 owner : 2005年11月24日