人はなぜかくも愚かなのだろうと思うことが度々ある。IT分野でいうと、システム障害発生時のドタバタ劇などはその典型だが、もっと愚かしいことがある。そのシステム障害を起こさないためにセキュリティー対策を怠り、結局はサイバー攻撃の餌食になるといったケースだ。サイバー攻撃を受けたらどのみち重大なシステム障害に至るから、まさに「そんなアホな」である。
「いったい何の話をしているんだ」と不審に思う読者がいるだろうが、「ああ、あの件ね」とすぐにピンときた人も多いはずだ。日本企業のIT部門はなぜか、というか理由は明らかだが、サーバーのOSやミドルウエアなどのバージョンアップどころか、パッチを当てることもやりたがらない。それってセキュリティー上まずいでしょ、と普通なら思う。IT部門のシステム保守運用担当者の職責からすると、完全な職務怠慢だからだ。
パッチを当てないというのは当然、セキュリティーホールの放置であり、よからぬ連中に狙われる末路が待っている。実際に以前、某大手ITベンダーのメールサーバーが狙われて、システムがダウンする事件があった。このITベンダーのネームバリューからすると当然狙われるよねと思うのだが、サーバーOSのバージョンアップもせずパッチも当てていなかったようだ。このとき「中の人」から聞いたが、長期間にわたってメールが使えず往生したそうだ。
こうしたサイバー攻撃、セキュリティー事故の際、被害企業の内部事情はなかなか漏れてこないので断言するのは難しいが、パッチを当ててセキュリティーホールを塞いでいなかったなと推測できるケースは他にもたくさんある。そういえば最近、サイバー攻撃の標的になりかねないコンピューターが日本には2万2000台存在するとの報道があったな。OSなどにパッチも当てず、当然バージョンアップもしないで放置しているIT部門、IT担当者が日本にはごまんといるわけだ。
随分前の話だが、OSやミドルウエアなどを提供する外資系ITベンダーの日本法人社長から嘆きを聞いたことがある。日本企業はOSなどのバージョンアップをやりたがらないという事実を、本社の幹部に話しても全く信じてもらえないとのことだった。「バージョンアップをせずに放置して何かあったら、大変な責任問題になるぞ。そんなばかな話があるものか」と本社の幹部は取り合わなかったのだという。もちろんこの本社幹部の認識が正しいが、日本ではその常識が通用しないのだ。
サイバー攻撃などのリスクにさらされるのに、パッチを当てることやバージョンアップを怠り、実際にサイバー攻撃に遭う。もう愚かとしか言いようがない不作為は、常識ある外国人には理解不能だが、外資系ITベンダーの日本法人社長がそうであったように、日本人なら理解できて「あるある話」となる。とにかく、日本企業のIT部門はパッチ適用やバージョンアップに伴う別のリスクを嫌う。もちろん、サイバー攻撃のリスクよりも嫌なのだ。
Powered by リゾーム?