マンション偽装と職業倫理

　今回のマンション強度偽装事件をみていて一番感じたことは、当事者たちに職業倫理というものがまるで欠けていることです。

　少しでもいいものを作ろう、少しでもお客さんに喜んでもらおうというレベルではなく、最低限最も必要な安全な住宅あるいは建物を造ろうという気持ちがまるで見られません。

　この点が、報道を見ていて情けないと感じる部分ではないでしょうか。

　情報セキュリティについても同じです。結局最後に頼りになるのは、個々人の倫理観なのです。しかし、倫理は本人の自発的な気持ちの表れですから、絶対に強制することはできません。どんな情報セキュリティ対策にしても、この点を見過ごすと有効に機能しません。

　組織を構成するメンバーの倫理観をできるなら、高いレベルにたもてるような、そんな夢のような情報セキュリティ対策が究極であると言えるのではないでしょうか。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

ジェイコム株の大規模な誤発注問題（続報）

　この問題で、重要な続報がありました。東証も自分たちのシステムに問題があったと認めたのです。

　みずほ証券からの取引の取消処理が受け付けられなかったのは、東証のシステムに問題があったということです。もし、東証側で取消処理が受け付けられていたら、最小限の被害で済んだことでしょう。

　11月のシステム停止事件に続いての東証のトラブルで、社長の引責辞任が濃厚になってきました。システムトラブルが、組織に大きな危機を引き起こしてしまったわけです。

　今回の例は、メインの業務が大きくコンピュータシステムに依存する組織の問題だからこんなことになってしまったと思う方がいるかもしれませんが、規模の大小に関係なく、コンピュータを導入している組織において本質的に起こりうることは同じです。その程度が違うだけで、企業に大きな影響を与える潜在的可能性は変わりません。

　今回の件を他山の石として、自分たちは大丈夫かどうかということを考えてみることをお勧めします。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

ジェイコム株の大規模な誤発注問題

　週末の社会面をにぎわせた、みずほ証券による株の大量誤発注事件ですが、この事件について述べてみたいと思います。

　私が第一に感じた疑問は、このような異常な株の注文に対して、どうしてシステムが警告を出さなかったのかということでした。注文の際に株価と注文株数を間違えていないかどうかなどということは、エラーチェックの基本中の基本であって、システム上チェック機能がないわけがないと考えたからです。

　案の定、報道によればシステムによって警告が出たそうです。しかし、注文担当者はそれを無視して強行したためにこのような大事件に発展してしまいました。

　なぜ担当者がシステムからの警告を無視したかというと、システムからの警告が日常茶飯事になっていて、無視することに慣れてしまっていたからだそうです。典型的な嘘つき狼少年のパターンですね。

　警告が出たときに、それを文字通り警告として受け取るべきなのか、最低限の確認作業さえ怠らなかったらこの事件は起きませんでした。日頃から注文業務を担当している人間にとっては、株価と注文株数の組み合わせについて、どんな値が異常なのかどうか、一概に決められないということは理解できます。それが顧客の注文なら、常識的におかしいと思うようなオペレーションでも、実行するのが仕事なのですから。

　そのようにして、株に素人の私でも想像できる事情ですが、今回の件はコンピュータシステムそのものの問題ではなく、操作する人間を含めたシステム全体の問題であると言えます。

　情報セキュリティの観点から考えても、このようなとんでもない誤操作がおきないような、操作手順を定めてそれをきちんと実行しているかどうかチェックする機構が必要だったと思われますし、日頃から、操作員に対しての教育をしておくべきでした。

　そのような意味で、今回のみずほ証券の責任は大きいと思います。誤発注による大量の安値での売り注文がもとで株価が突然値幅制限の値まで下落して、操作のキャンセルができないために、売ったすべての株を買い戻そうとして、今度は急激な値上がりをさせてしまい、株価の乱高下が起こってしまいました。

　わずかな時間の間に起こったことでしたが、めざとく値下がりしたところで買い込んで、一転、値上がりしたところで売り抜けた投資家は大もうけしたことでしょう。その分の損失をみずほ証券がかぶるわけですから、みずほ証券にとって、事業継続の危機を招いてしまったわけです。

　今回の件は、証券会社のシステムの誤使用がどのような事態を招いてしまうのか、大きな犠牲を払いながら一つの貴重な実例を示してくれました。われわれはこれを他人事と聞き流すのではなく、自らの問題として考えてみる必要があると思います。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

迷惑メール再考

　以前にも、迷惑メールについて考えたことがありました。プロバイダ側での対策が徐々に進みつつあるということをお話しした記憶があります。

　最近のメールソフトも迷惑メール対策機能がついているものが普通ですよね。迷惑メールを、自動的に特定のフォルダに振り分けて目に入らないようにしてくれる機能です。あと、私が使っているトレンドマイクロ社のウイルスバスターというウイルス対策ソフトも迷惑メール対策機能がついていて、迷惑メールを識別して、表題に迷惑メールだというチェックを入れてくれます。

　迷惑メール対策で悩ましいのは、あまり厳しくチェックしようとすると、本当に必要なメールまでゴミ扱いしてしまう恐れがあることです。この点がうまく解決できれば、快適なメール生活が送れるのですがなかなかそれがむずかしいものです。

　大企業では、全体的に見ると受け取る迷惑メールの量が膨大なものになります。だからこそ、先日の記事で紹介したような専用の迷惑メール対策用のハードウエアが製品として出てくる余地があるわけです。

　毎日、毎日、手動で迷惑メールをチェックしてゴミ箱に放り込む作業に、みなさんはどのくらいの時間を費やしているでしょうか？ビジネスにおいて、一分一秒は本当に貴重な時間です。そのような時間を迷惑メールにつきあうなんて全くうんざりすると思っている方は多いでしょう。

　もっとやっかいなことに、迷惑メールはセキュリティ対策を弱くするきっかけになることです。今はやりの、フィッシング詐欺など、きっかけは迷惑メールから始まるわけですから。迷惑メールをそうでなく見せかけるところが巧妙なところで、やっかいなところです。

　迷惑メール対策の動向については、これからも注目していくつもりです。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

ネットワークという仮想世界と防犯対策

　日頃、コンピュータネットワークに当たり前のように接していますが、よくよく考えてみると自分が送り出した情報が電気信号に変換されて、一瞬で地球の裏側にまで届いてしまうということはすごいことだなとあらためて感じることがあります。

　最近の子どもたちの科学離れが嘆かれるようになって久しいですが、皮肉なことにテクノロジーが進歩して、それが当たり前のものになってしまい日常生活にとけ込めばとけ込むほど、関心を失ってしまうのはある意味当然の結果だと思います。

　電話で離れたところの人と話ができるのを不思議と思わないのと同じレベルで、現代の子どもたちはコンピュータやインターネットを当たり前のものとして使いこなしています。

　人間は、自分が持っていない物についてはほしいという欲求を持てますが、すでに持っている物については関心を失ってしまうものなのです。そういう意味での科学技術への関心の薄さは納得できるものです。

　しかし、当たり前のものとなったネットワークという仮想世界ですが、ここでわれわれ人間が暮らして行くにはまだまだ未知の部分が多くあります。基本的には現実の世界の投影と考えられるのですが、もしそうだとすると、人間の持つ負の部分、影の部分の欲望もうずまくということになってしまいます。

　そうであればこそ、情報セキュリティという意識が必要になってくるわけで、子どもたちにきちんとした教育をしないといけないということになります。

　最近、若い女性や幼い子どもの命を奪う事件が連続して起こって新聞やTVの報道をみるのがつらいと感じることが多くなっているのですが、これなど現実社会のセキュリティ対策への警鐘であるととらえることができます。現実に、小学生に対して事件に巻き込まれないような注意喚起と教育を強化しているという報道がありましたし、親が車で子どもの送り迎えをすることで事件に巻き込まれないような対策が取られています。

　このような現実の世界のセキュリティ対策は、そのままコンピュータネットワーク、インターネットという仮想世界にもあてはまります。

　普段、情報セキュリティと聞くと、何かとてもむずかしいものであるかのように構えてしまいがちですが、人間の作り出した世界であることにかわりはないのですから、基本的なことは同じなのです。

　親が子どもを安全のために学校に送り迎えをするという自然な感覚で、情報セキュリティについても考えられるようになることが理想形だと私は考えています。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

責任の取り方

　このブログでたびたび取り上げているマンション・ホテルの耐震強度偽装事件ですが、報道をみていていつも感じることは、この問題に対する責任の取り方です。

　利害関係者がそれぞれに自分には非がないあるいは、自分の落ち度を全面的には認めないという主張を繰り返すばかりで、被害を受けた側からみれば、本当にやりきれない状況だと思います。

　本来、きちんと責任を取るべきマンション販売会社の社長は雲隠れ、建設会社は倒産では怒りの持って行きようがないという状況です。

　情報セキュリティについて振り返ってみると、このような構図が起こりうるのは予想できるのですが、一つだけ違う点があります。というのも、自分が管理している情報機器（PC等）がセキュリティ上の弱点を突かれて被害にあってしまうと、今度はそこを踏み台にされて、意図せずして自分もセキュリティ侵犯の加害者にされてしまうことです。

　もっとも、お気づきになった方もあるかと思いますが、厳密に言えば欠陥マンションの件でも、、周囲に迷惑を及ぼす（地震で倒壊の）恐れがあるという建物の所有者に意図せずしてなったために生ずる責任というものがありますので、本質的には変わらないという考え方もできます。

　しかし、情報セキュリティの場合は、その被害がネットワークを通じて世界中に及ぶという点が大きく異なります。もし、自分のPCが以前に紹介したボットにされてしまった場合には、攻撃者の意図通りにあやつられ世界中に影響を及ぼす迷惑行為に加担することになるわけですから、これは大変なことです。

　残念ながら、一般の方たちの認識はそこまで追いついていないのが現状です。コンピュータウイルスと言えば、せいぜい自分のPCが正常に動作しなくなって迷惑する、あるいは自分のPCの中の情報を盗まれるというくらいの認識しかないのではないでしょうか。

　悪意を持った攻撃者の指令のもと、ボットと化した世界中のPCが特定のWEBサイトを攻撃しているというイメージが頭の中にできるようになってもらえば、これがもっと一大事だと理解してもらえるはずです。

　情報セキュリティの問題点には、こういう側面があるということがわかってもらえれば、私としても望外の喜びです。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

作業手順の大切さ（東証のトラブルに思う）

　先日の東京証券取引所で半日システムが停止した件の、詳しい原因が報道されていました。詳しい技術的な話は省略しますが、今回のトラブルの引き金になったのは、定められた手順以外の方法でプログラムの修正を行ったことでした。

　通常、システム開発と運用というものは別々の環境（コンピュータシステム）で行われます。開発環境で作ったものをテストして、間違いなく動くということを確かめてから本番運用の環境にコピーして動かします。

　しかし、トラブル対応で緊急時にはこのような手順が守られず、本番環境にあるプログラムを直接修正して対応することが少なくありません。そうすると運用の手順が狂って、システム全体の整合性が取れないことになってしまいます。

　今回のトラブルの根本的な原因は、システム全体の整合性が狂ったため、あるプログラムを実行時に呼び出せなくなってしまったことでした。手順を守って、きちんと作業していれば、また、手順を破ったとしてもあとできちんと全体の整合性が合うように対応しておけば避けられたトラブルでした。

　実は、似たようなトラブルは私も以前開発現場にいたときに何度か見聞きしていました。本番機でバグ（誤り）が出てシステムが止まったり、異常な動作をするととにかく目の前の誤りを修正することに気を取られ、ルール破りをしたことを忘れてしまい、それが原因で翌日以降また新たなトラブルを引き起こしてしまうわけです。

　作業手順やルールの類は何もきまぐれで決められているわけではありません。きちんとした根拠があって存在するわけですから、システムの開発や運用に携わる人たちは常に頭の中にたたき込んでおく必要があります。

　情報セキュリティについても同じです。会社の中、あるいはインターネットの中にさまざまなルールがありますが、それを根拠もなく守らないといつか大変なことが起こってしまうということを肝に銘じておかなければなりません。

　セキュリティ対策はとかく手かせ足かせと見られがちです。しかし、それには、守らなければいけない根拠があるのです。ルール一つ一つの根拠にまで踏み込んで理解すれば、押しつけではなく自発的に守ろうという気持ちになれると思います。

　情報セキュリティについての啓蒙活動は、個人一人一人がルールの背景まで理解し、自発的行動を取れるようになることが究極の目標なのではないでしょうか。そこに至れるよう、がんばってみたいと思っています。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

FBIをかたる偽メール

　報道によれば、FBIをかたる偽メールが出回っているそうです。内容は危険なウイルスが出回っているというもので、記載されているURLをクリックして駆除ツールをダウンロードしろと書いてありますが、実際にはウイルスがダウンロードされるそうです。

　日本人には、英語のメールというだけで怪しいと思う人が大半でしょうし、いまさらFBIを持ち出しても意図はみえみえという気がして、それほど危険なものとは思えませんがウイルスをばらまく側のなりふりかまわない姿が目に浮かぶようです。

　この手の偽メールはいくら注意しましょうと世間に呼びかけてもなくなりません。確率は低くても、必ずひっかかる人が一定の割合でいるからです。スパムメールをばらまく人間は数万、数十万という単位でメールを送信しますから、1%でもひっかかる人がいれば、決して少なくない人数と言えるでしょう。

　この話題はネット上の話題ですが、実際のわれわれの身近でも同じようなことは日常茶飯事で起こっています。残念なことですが、必ず詐欺にだまされる人は一定割合でいるのです。ですから、世の中から詐欺という犯罪が完全になくなることはあり得ないのです。

　このようにして考えてみると、ネット上の話題とはいえ、結局人間社会の普遍的な部分にかかわる事柄だということがわかります。なぜかといえば、ネットワークの向こう側にいるのは私たちと同じ人間なのですから、当然といえば当然です。だますのも、だまされるのも人間なのです。

　今、世間では不正な架空請求や振り込め詐欺が話題になっていますが、今回の話題も含めて人間の悪の部分を気づかされる、非常に人間くさい話題だということを感じてもらえればと思っています。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

IEのセキュリティホール

　IEのパッチ未公開のセキュリティホールを狙うWEBサイトが増えているそうです。

　知らないサイトを次から次へと巡り歩くネットサーフィンという言葉は今ではすっかりすたれてしまった観がありますが、もはや、そういう行為は海外旅行をして物騒な地域を一人でうろつくのと同程度の危険な行為とみなされるようになってしまいました。

　普段アクセスしている、安心してアクセスできるサイトしか閲覧できないのでは、Explorer（探検家）の名が泣くというものです。

　実に皮肉な結果になってしまいますが、WEBの閲覧には好奇心を抑えるための自制心と用心深さが必要なようです。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★

審査の難しさ

　このブログでも何度も取り上げているマンション強度偽装事件ですが、この事件でつくづく審査というものはむずかしいものだと感じています。

　マンションの場合は、構造計算書と建築図面についての審査ですので、その書類をくまなくすべてチェックすることは理屈の上では可能ですが、現実的にはそんなことを全部やっていると時間がいくらあっても足りないということで、ポイントをだけの審査が行われるために不正を見逃すことになってしまうのかもしれません。

　他方、ISOやISMSについてはどうでしょうか。こちらも、審査日程は限られているので要所要所を押さえた形での審査が行われます。審査を受ける側として最も気になるので、自分たちで作成したルール通り日常の業務を行っていることを審査員に証明できるかということになります。

　審査員が会社にやってきて、アットランダムに社員に対してボロが出そうな質問をして、それにうまく対応できるかが一番の心配ごとだったりします。

　どちらにしても、全数調査、完璧なチェック・審査というのはありえないので、どうしても性善説に立たざるを得ない部分があります。チェックされる側の良心にかかっているわけです。学校の先生が、生徒のテストをくまなくチェックして採点するようなことは、現実の審査ではできませんのでこの点が一番問題になりそうです。

　この問題はこれからどう発展するかまだわかりませんが、今回の一件で世の中の審査制度の信頼が揺らいだのは確かなようです。

★★★　人気ブログランキング参加中！！！よろしければクリックお願いします　★★★