中堅製造業C社の社長は,自社の利益と株主の目ばかりを気にしており,自分の任期中は「セキュリティ対策など金のかかることは一切したくない」という態度だという。システム部員の下井氏(仮名)は,社長のそうした理解のなさがはっきりと分かる出来事を,ここ1年で何度か経験した。
「なんだよ,これ!」。下井氏が休暇明けで出社すると,目の前に信じられない光景が広がっていた。ワームに感染したために,社内ネットワークから切り離された30台のPCが,自分の机の周りに山積みになっていたのだ。PCやネットワークの管理を一人で受け持つ下井氏は,これらすべてのPCを復旧させなければならない。
C社では,ワームの被害は日常茶飯事である。システム部員の人手不足により,セキュリティ・パッチの適用に関して一切サポートしないからだ。すべてユーザー任せにしていて,感染したときだけ下井氏がサポートする運用になっている。
よく起こることとはいえ,下井氏にとってここまで大きな被害は初めての経験だった。たった一人で悪戦苦闘しながらも,何とか3日で復旧作業を終えることができた。
作業が完了したとき,社長から「3日で復旧できるなんて早いな」と褒められた。しかし,この言葉に下井氏は反発をおぼえる。下井氏が復旧作業をしている間,ユーザーはPCを使えないのだから,「本来ならば“3日もかかったのか”と責められてもおかしくない。社長がそう言わなかったのは,システム部員が足りないことをよく知っているのに,金のかかることはしたくないから。そういう考えがありありと見えた」と下井氏は語る。
ただでさえセキュリティに不安を感じている下井氏に,さらに心配な出来事が起きた。C社が赤字の子会社D社を吸収合併するというのだ。合併によって下井氏がサポートすべきクライアントPCが50台も増えることになる。さらに,D社にはシステム部員が1人もおらず,PCの運用は各ユーザー任せだったため,セキュリティの状況もC社よりひどい。下井氏は合併の話を聞いたときに,「正直,気が重くなった」と告白する。
そこで下井氏は,社長にシステム部員を増やしてほしいと要望を出した。しかし,「D社を合併して,少しでもコストを削減したいこの状況で,人を増やせるわけがないだろう」(社長)と全く受け入れられなかった。
下井氏は,システム部員を増やせないならば,せめて管理負担が軽くなるように,D社のクライアントPCの一斉刷新を社長に懇願している。だが,700万円近い費用がかかるため,認められるかどうか難しい状況だ。
一般に,経営層がセキュリティ対策にお金を出したがらない理由の一つは,対策を怠ることによって生じ得る損害の大きさを十分に理解できないことにある。だがC社の社長は,これに全く当てはまらない。下井氏によれば,社長は「インターネットとつながらなくても,電話とファクシミリがあれば受発注業務はできる。数十台のPCがワームに感染したくらいでは金銭面の被害は出ない」と信じているようなのである。
確かにC社では,PCやメール・サーバーが使うネットワークと,基幹システムが使うネットワークを分けていて,PCがワームに感染しても基幹システムに影響はない。電子メールが使えなくても,電話やファクシミリがあれば受発注はできる。
もちろん,繰り返し起こる被害に対して,PCの復旧にかかるコスト,PCが使えない間のユーザーの損失などは相当な金額に換算できるはず。しかし,この社長にとっては「通常の人件費」の一部であり,会社の利益を減らさない限り,損失とは考えそうにない。
このような社長でも,何か重大な損失を生むセキュリティ事件を経験すれば,事前対策の重要さに気付くだろう。だが,その状況はシステム部員自らの責任を問われることも意味する。
