2014年7月18日金曜日

ITを外注する会社に未来はない

行員業務を外注する銀行などないのに、ITシステムを外注する会社は多いっておかしいよね、という点につき、非常に同感です。

日本のITの今後を占うベネッセ社の舵取り

要はホリエモンがかねてから言ってるように、ITシステムとは事業の根幹、いや事業そのものなのです。

理想は、社長みずからITシステムを組めることが望ましいとおもいます。

それが無理なら、社長直轄の最上級中核部門としてIT部を組織し、そこが社長の意を受けて社のITシステムすべてを構築するべきでしょう(汎用ソフトの選定導入カスタマイズも含め)。

お金払えば悪いことしづらい、という考え方は、正しいですが、それが本人へ回らなければ効果がないことは明らかです。

従来も、発注側は外注にけっこうなお金払ってるとおもいます。
今回のベネッセもきっとそうだったとおもいます。
ただ、外注の場合、ワーカー本人までのあいだにいろんなオーバヘッドのレイヤが存在してしまうことは周知のとおりです。

ベネッセ情報流出 USB接続禁止状態でのスマホへのデータ転送実験

ベネッセ(進研ゼミ)の顧客情報大量流出は、地元出入り業者SEがカネで顧客情報を売ったことが判明、犯人が逮捕されました。

ベネッセ流出 39歳派遣社員を逮捕 情報複製疑い 延べ1億件売る?

非常に気になったのは、
DBのシステムは記憶媒体に情報をダウンロードするとパソコンに「エラー」が表示される仕組みだった。松崎容疑者はスマホを充電しようとパソコンにつないだところ、データが取り込めることに気付いたという。
のくだりです。
「充電しようと」ということはおそらくふつうにUSB接続でしょう。

すなわち

  1. ベネッセのシステムではスマホは記憶媒体として認識されていなかった
  2. ベネッセのシステムに限らず、一般に、USB記憶媒体の接続を禁止していても、スマホはふつうにスルーできてしまう
  3. スマホを普通につなげば記憶媒体として認識されるが、記憶媒体として認識させずにデータを転送できる何らかの方法がある(もしかするとベネッセのシステムに限らず)

のいずれかであったということでしょうか。

このうち3.の可能性については、私はセキュリティの専門家ではないので、わかりません。

また1.については、ベネッセ個別のセキュリティホールということになりますので、我々で直接検証することはできません。

しかし2.については、我々にも関係のある話というおそれがあります。
また、それなりに検証可能です。

私はセキュリティの専門家ではないので、とりあえず巷にあるUSB記憶媒体接続禁止ソフト「USB TOOLS」について、ためしに実験してみました。

このソフトは、「USB接続を禁止にする」を選択しておくと、USB記憶媒体を接続しても、ドライブも現れず、Windowsの右下部もウンともスンともいわなくなるというソフトです。

そこで、このソフトをインストールして、「USB接続を禁止にする」を選択しておいたパソコンに、私のXPERIAをUSB接続しました。

すると、USBで何らかの機器が接続されたことを認識した旨のメッセージがWindowsから発せられました。
そこで、一般的なドライバのインストール手順を進めると、「USB大容量記憶装置デバイス」のドライバのインストールが開始されました。
しかしこのインストールは、途中でエラーで終了しました。
ドライバはインストールされませんでした。
したがって、XPERIAへのファイル転送はできませんでした。
ただし、充電はふつうにできていました。

対照実験として、このソフトで「USB接続を有効にする」を選択しておいた状態、私のXPERIAをUSB接続し、XPERIA側でファイル転送モードを「本体のメモリーカードに接続」に設定しましたところ、今度はドライバのインストールが成功しました。そして、XPERIA側でファイル転送モードを「本体のメモリーカードに接続」に設定しましたところ、XPERIAへのファイル転送に成功しました。

よって、2.のおそれについては、私の素人考えなりに、払拭されたと考えてよさそうです。

ただし何度も繰り返すようですが、私はセキュリティど素人ですので、私の考えおよばない危険があるかもしれません。
また、ベネッセのセキュリティシステムも、実際にはきっと、こんな単純なものではなく、もっと複雑なものだったでしょう。

気をつけましょう…。


[追記 09:30]

Koshianさんから
MTPをチェックしてなければ回避しちゃうかもですねえ
とのfbコメント返しをいただいたので調べてみました。
MTPって、デジカメとかつなぐとドライブが出てこないのにファイル転送はできるというあのナゾのしくみですね。
Androidは3.1以上でMTPに対応したそうです。
私のAndroidは2.3.4です。
てことで、上の私の実験は、とりあえず「大容量ストレージデバイス」としてAndroidが認識されているうちは大丈夫っぽい、ということを言っているにすぎないようです。

[追記10:00]

この件、グーグル先生に聞いてみましたが、意外なことに、まったく答えが得られません。

MTPでPCに接続されると、データセキュリティはダダ洩れというのがWindowsの仕様のように見えます。

たとえば:
http://answers.microsoft.com/en-us/windows/forum/windows_7-hardware/is-it-possible-to-disable-media-transfer-protocol/248a2a24-8a74-4bce-ba13-b36d9750d69b
MS公式の質問箱にもかかわらず、まったく解決策が得られていないまま、放置されています。

ただしここの質問文を見た感じ、また他のサイトでも言及がされていたのですが、Windows XPの場合、Windows Media Player 10(ないしそれ以降? いっそWindows Media Player全バージョン?)のインストールを禁じてしまえばMTPアクセスは防げるようにも読み取れます。

だとすると皮肉にも、この点においてはひょっとすると、Windows 7よりも、公式サポート終了してしまったXPのほうが、容易にセキュアな環境を構築できることになります。

もしも、これが原因で今回ベネッセが情報漏洩を起こしてしまったのだとすると、技術者コミュニティでもほとんど話題になっていなかったセキュリティホールであり、システム開発側には同情の余地があるようにおもえます。
もちろん私ごとき素人が同情も何もえらそうに言えた立場じゃないんですけど。

日本橋にひび トラック通行禁止に

プノンペンのカンボジア-日本友好橋(通称チローイ=チョンヴァー橋・日本橋)の東端の柱に亀裂が発見されたことから、2.5トン以上のトラックの通行が禁止となりました。

Cracks discovered in bridge

この橋は1960年代後半に作られましたが、中央部分は内戦で破壊されたため、日本の支援で再建されましたが、問題の箇所は建設当初の構造が利用されているということです。