叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。
トップ > 研修を受け、あれこれと思うこと > 5ヶ月遅れの「ノストラダムスの大予言」

5ヶ月遅れの「ノストラダムスの大予言」

研修を受け、あれこれと思うこと 情報の可用性・冗長化 「昭和40年男」の記憶 アプリケーション(開発・運用・脆弱性) インシデント(セキュリティ・障害)

企業に於ける情報セキュリティのインシデントが増えたのは、2000年以降です。1990年代にもインシデントは発生していましたが、2000年代に比べるとその数ははるかに少ないです。

2000年に入って、インシデントが増えたのは、ITシステムの使われ方が、1990年代と2000年代で大きく変わった為です。

当時は新しい技術であったインターネットを会社のITシステムで活用する動きは90年代からありました。わたしは93年に産学連携のセミナーを通じ Netscape Navigatorを使って、はじめてインターネットに触れる機会を得ました。そして、インターネットをどのように業務活用すればいいかを社内で議論したことがあります。

しかし90年代は、全体を通して、それほど企業はインターネットの活用に積極的ではありませんでした。せいぜい、社内で情報を共有する手段として、イントラネットを構築する動きに留まっていた感じです。たとえば、基幹系システムで管理している人事情報の一部(社員番号、氏名、所属部署など)を連絡帳として、社内のポータルサイトに連携するなどです。

インターネットの本領は、社内よりも社外に向けて情報を発信することで力を発揮するのですが、90年代は足踏みしていた印象です。

背景として、西暦2000年問題(Y2K問題)があったと思います。

西暦2000年問題は、その時点で開発されていたコンピューターシステムが西暦の下2桁のみを使用していたことで懸念された問題です。1999年から2000年に変わる際、下2桁は、99から00になります。日付が00に変わった途端、システムが年号を正しく解釈できない可能性がありました。99年から00年に進むとき、システムは00年を1900年と解釈してしまうかもしれません。そうすると、コンピュータで処理している日付の計算や、データ処理が狂ってしまいます。

当時のIT部門の管理職は西暦2000年を迎え、コンピュータシステムが誤作動を起こした場合の責任の在り方に頭を悩ませているように見えました。

わたしは情報システム部門の一員として、Y2Kに備え、COBOLで作られた管理システムの DATA DIVISION を確認し、年の定義漏れがないかを検証してました。DATA DIVISION はデータ項目定義をするコーディングの領域を指します。

COBOLプログラムの構造

情報セキュリティには可用性と呼ばれる要素があります。

可用性とは許可された者が、必要な時に必要な情報にアクセスできることを確実にすることです。

可用性は、機密性や完全性と並ぶ情報セキュリティのCIAと呼ばれる、コンピュータシステムに求められる極めて重要な要素です。

情報セキュリティのCIA(3要素)

西暦2000年問題は、いち企業だけの問題ではなく、日本国内だけの問題でもありません。世界にあるすべてのコンピュータシステムが否応なしに迎える「可用性」に対する脅威でした。

そして、昭和世代のわたし達は、少なからず「ノストラダムスの大予言」の影響を受けてます。

西暦2000年問題は、「1999年の7月に人類は滅びる」という予言が5ヶ月遅れてやってくるかもしれないというオカルトでもありました。


https://amzn.to/49vETNA

ですので90年代は、どの企業も新しい技術であるインターネットシステムの構築を積極的に投資するよりは、レガシーシステムの修復に工数をかけるのは当然のことだと思います。

西暦2000年問題は、大きな脅威でしたが、終わってみればそれほど深刻なインシデントはありませんでした。

これは、当時のITエンジニアの成果の賜物です。

仕様上、問題となる個所を事前に特定し、修正対応がきっちりできたからです。

深刻なインシデントに至らず対応できた要因として、3つあると思います。

ひとつは、西暦2000年問題の要因となる日付の下2桁対応は、修正対応するべき箇所は膨大ですが、修正作業はシンプルだったことです。日付データの持ち方を下2桁から4桁に変えることと、日付データを取得し、テーブルに追加・変更・削除をするコーディング部分を変えることに絞られます。

ふたつめは、当時のシステム開発は、ウォーターフォールモデルが主流だったことです。

ウォーターフォールは、システムの要件定義→設計→コーディング→テストの各工程を分割し開発を進める方法です。原則として手戻りはなく、前工程を完了させてから次の工程に進むため、製造されたシステムの設計書が信頼できます。もし、設計書が不十分だと、エンジニアはコーディングを直接眺めて、問題個所を特定するしかありません。これは、非常に手間のかかる作業です。

ウォーターフォールは、完了までに時間のかかる開発手法として、問題点を指摘する声は多くありますが、システムの可用性を維持する観点からは、もっとも安全・着実な開発手法です。

そして、三つ目は当時のITエンジニアは、いまのように会社をコロコロ変えることがなく、ひとつの会社で長年にわたって、システムのメンテナンスをやってきた人が多かったことです。どの会社にも、生き字引のように社内システム全体に精通しているエンジニアがいました。その人のアタマのなかには、問題の勘所が分かっていて、適切な対応を指示する役割を果たしました。

そう考えるともし、イエス・キリストが生まれたのが25年遅く、いまが1999年だったら・・・西暦2000年問題は、比べ物にならないくらい深刻なインシデントをもたらすかもしれないと思いました。

ランキング参加中
知識
ランキング参加中
雑談
ランキング参加中
テクノロジー