ミニ・ケース(12)セキュリティ対策

情報工学・メディア情報・経営情報

 私は、(株)ゼロリスク・プログラミングに勤める入社3年目のWebプログラマーである。この会社では、おもにインターネット・ショッピングサイトを開設したいという個人向けに、Webサイトの設計・作成およびレンタルサーバーの運用をおこなっている。私はその中で、Webアプリケーションの設計とデータベースサーバーの設定を担当している。
 この春、同じプロジェクトチームに新入社員のAが配属されることになった。Aは、大学時代にWindowsアプリケーションを作成するアルバイトをしていたこともあり、コンピュータについての基本的な知識は持っていた。しかし、ネットワークを利用したデータベース管理については経験がなかった。そのため、あなたがAの教育係をまかされることになった。
 しかし、Aをきちんと教育する暇もなく、4月の中旬ごろから、お中元やボーナスシーズンに向けて、急ぎの注文が多く入るようになった。これらの注文は時期が重要なため、ほとんどの納期が6月初めまでに設定されていた。そのため、Aには実際に仕事をしながらサーバーの設定や重要なポイントをおぼえてもらうことにして、手順や重要ポイントのメモを取らせながら、一緒に作業を進めた。
 Aは飲み込みも早く、私のAに対する評価は高まっていった。そして2週間もすると、Aは一人で作業をこなせるようになっていた。私は、教育が不十分なことは承知していたが、Aならば大丈夫だろうと判断し、5月上旬からはいくつかのサーバーの設定をAに任せ、自分はWebアプリケーションのカスタマイズ作業に専念した。そして忙しさを理由に十分にAの作業については最終的な確認を怠っていた。こうして納期には間に合い、それぞれのサイトは公開されていった。
 ところが、8月中旬になり、別の件でAの設定したデータベースサーバーを再確認したところ、初歩的なセキュリティ対策が抜け落ちていたことが判明した。すぐに、Aが設定した他のサーバーについてもチェックしたところ、2割程度で、その対策が抜け落ちていたことが分かった。Aに確認すると、どうやら6月に入ったころから、作業への慣れと忙しさからある手順が抜け落ちてしまったらしい。これはもちろんAの責任であるが、教育係であった私の責任でもある。それに、確認を怠った最終責任は私にあることは言い逃れのできない事実である。私は、急いでデータベースサーバーにセキュリティ対策を施した。そして念のため調べてみると、7月を前後して、それぞれのサーバーにはかなり多くのアクセス数があり、多数の不正攻撃の形跡も見られた。しかし、このような対策ミスをおこなったことを顧客に対して報告すると、それがあまりに初歩的であることから、会社への強い不信感につながると思われる。上司のBに報告すべきか迷ったが、自分の行動に対する後ろめたさから、結局この問題の報告をおこたってしまった。さらには8月の定期的な全社での報告会でも、問題なしと報告してしまった。後ろめたさはさらに続いたが、今後の会議で報告しても、なぜすぐに報告しなかったのかと責められることになるだろう。私は今後、どのように行動すべきだろうか。

Q.1
この事例は、どのような問題に発展する可能性があるだろうか。

Q.2
私のおこなった行動は、どのような点で適切であり、どのような点で不適切であっただろうか。

Q.3
こうした問題を防ぐためには、会社としてどのような点に注意して、どのような対策を実施すればよいだろうか。

上に戻る


Applied Ethics Center for Engineering and Science, Kanazawa Institute of Technology
contact e-mail: aces@wwwr.kanazawa-it.ac.jp