  |
はてなキーワード: インシデントとは
”「運営の判断です」と嘘の理由をつけて「NGワードリストにある卑猥な単語を消す」というプルリクを出した”
これが今回の最大のインシデントだよな。嘘理由で勝手にプルリク出されると互いに信用できなくなり仕事に支障がでる。
この点だけは言い訳のしようもなく嘘つきが悪く、上司が厳重注意すべきレベル。
一方でそのようなプルリクを出した動機とも言える、必要なことはわかっているのだけど卑猥な単語があることがどうしても受け入れられない、
という感情については一定の配慮は必要だよな。そこに同意する必要も理解する必要もないけれど、その人はそういう性質なんだと認める必要はある。
卑猥な単語があること自体が受け入れられないと伝えてくる繊細()な人に、卑猥な単語を書いてその理由までつけた報告書を書けと強制するのは、場合によってはあてつけ、嫌がらせと思われても仕方ない。たとえその人が問題を起こした人であったとしてもね。
とはいっても詳細なインシデント報告書が必要だろうから、その人の許容できる範囲でレポートを書いて貰えばよかったね。
とりあえず上にインシデントを報告するために報告書を書いてもらったんだけど、「NGワードを削除しました」だけだと上の人に詳細に伝わらないので削除した単語一覧と削除した理由も追加しておいてねって報告書の添削をしたら数日後に人事から呼び出しを食らった。
ここれまでの段落の内容と、そもそも本文全体からして増田本人がapproveするとは考えられないから。
「インシデント報告」「削除しました」って書いてあるから、上記に引用した段階ではすでに事後。
となると、masterにpushできたに違いない(PR経由のmasterマージも、自分で無条件マージできるならばmaster pushと一緒)。
また、前段の方で「そのNGワード集に編集リクエストみたいなの」と、「編集リクエストみたいなの」と言っていることから、バージョン管理システムなりの使い方をよくわかっていない可能性が高い。
ふわふわした形でバージョン管理システムを使っているならば、すべての人に全権限を与えていたり、masterマージ時にレビュー必須にするなどの条件が設定されていないということはあり得る。
ブコメ的には「女はインシデント起こしても具体的な報告書を書かなくていいし、そもそも女の場合は上司が書くべき」らしい。同じ仕事なのに男以下の内容でいいなんて女は楽だなあ。
どのレベルでインシデントになるかも会社によって結構違うよねぇ
(ここに自分の会社での立ち位置が書かれているとより分かりやすい)
ゲームにはNGワードってやつがある。ゲームのプレイヤーが名前や自己紹介文などに卑猥な言葉や差別的な用語を使用することができなくするようにするためのものだ。
そのNGワードのリストに運営チームから編集リクエストが来てて、見てみると下ネタ系の単語が全てNGワードリストから削除されていた。削除理由には「運営判断」とある。
削除対象となっていたNGワードには「まんこ」みたいな直截的な言葉から差別的ニュアンスのある用語まで含まれていたので、これは流石に少しおかしいと思って運営チームの方に確認の連絡を取った。ところが運営チーム側ではそういう依頼は出した認識はないとのことだった。
そこでリクエストを出した本人に直接確認してみると、「卑猥な単語なので削除しました」と回答された。
その卑猥な単語をゲーム内に出さないためのリストなんだよって話しをしたんだけど、彼/彼女にはどうにも理解してもらえない。彼/彼女が主張するには「頭では理解出来ているけど自分の作っているゲーム(のコード?リソース?)の中に卑猥な単語が含まれているのが許せない」とのことで、うまく話が噛み合わないのだ。
とりあえずこの事(独断に拠るNGワード削除の件?)について上の人にインシデントを報告しないといけないので、彼/彼女に報告書を書いてもらうことにした。「NGワードを削除しました」だけだと上の人に詳細が伝わらないので、「実際に削除した単語一覧とその理由も追加しておいてね」と提出された報告書の添削をして彼/彼女に修正をお願いしていたのだけど、その数日後に人事から呼び出しを食らった。
卑猥な単語を無理やり書かせるセクハラを受けていると彼/彼女から相談が来ているらしい。
なんだそりゃーと思いつつ、後日運営チーム(の担当者?上長?)と人事の人と自分と彼/彼女の4人(?)で話し合いの場が設けられる事になった。
その話し合いの中で人事から「有給も余ってるし明日は休んだらどうですか?」って言われたので、今日は休んでる。
んだけど、やっぱモヤモヤするんだよなぁ。
NGリストから卑猥なワード(本来NGにしたい単語)をなぜか削除(NGじゃない設定に)したアホにインシデントレポート書かせたらこっちがセクハラで訴えられたって話
増田に書いても「お前が悪い!」で終わりそうな話しではあるんだけどw
ゲームにはNGワードってやつがあって、それが入力できないようにされてる。
そのNGワード集に編集リクエストみたいなのが来てて、見てみると運営判断って名目で下ネタ系の単語が全てNGリストから削除されていた。
「まんこ」とか下手すると差別用語的なニュアンスで使われる単語も削除されていたので、運営の方に確認の連絡をするもそういう依頼は出してないとのことだった。
なのでリクエストを出した本人に聞くと、「卑猥な単語なので削除しました」との回答だった。
その卑猥な単語をゲーム内に出さないためのリストなんだよって話しをしたんだけど、頭では理解出来ているけど自分の作っているゲームの中に卑猥な単語が含まれているのが許せないとかで話がうまく噛み合わない。
とりあえず上にインシデントを報告するために報告書を書いてもらったんだけど、「NGワードを削除しました」だけだと上の人に詳細に伝わらないので削除した単語一覧と削除した理由も追加しておいてねって報告書の添削をしたら数日後に人事から呼び出しを食らった。
卑猥な単語を無理やり書かせるセクハラを受けていると相談が来ている、らしい。
なんだそりゃーと思いつつ、後日運営と人事と自分とNGリストを削除した子で話し合いが行われることになった。
んで、有給も余ってるし明日は休んだらどうですか?ってことで今日は休んでる。
んだけど、やっぱモヤモヤするんだよなぁ。
研究で習得出来て仕事でも役立つスキルをいくつか挙げていくよ。もちろん仕事でも習得はできるし、そこそこの規模の会社なら研修とかもあるだろうけど、せっかくなら入社前に身に着けて周りと差をつけよう!
ロジカルシンキングやクリティカルシンキングともいうね(厳密にはこの二つは別のスキルらしいけど面倒なので一つとして語るよ)。ものごとを体系的に捉えて矛盾なく解へたどり着くためのスキルだよ。このスキルがあれば仕事で新しい情報に出くわした際やスキルを習得する際に、それをよりスムーズにしてくれるよ。また、創造性の要求される仕事(企画とか開発とか)でも必須スキルと言われるよ。どのようなバックグラウンドからその提案に至ったのか、その提案はビジネス的に勝算はあるのか、そういった検討を論理的飛躍なく出来るようにならないといつまでたっても下っ端働きのままだね。
Plan→Do→Check→Actionという継続的な業務改善のサイクルのことだよ。自分が経験してきた限りだと方々で「PDCAを回せ」と耳にタコができるほど聞くよ。ぶっちゃけ研究の仮説→実験→検証→再実験の流れと同じだね。もっと平易に言うと、なんかやるんだったらやる前に結果を予想して、やったら予想との差分を取って、その差について考えて、次はもっとうまくやれってことだね。仕事してるとやる前の期待値とやった結果が異なることのほうが多いんだから、いちいち上手くいかないことを先輩・上司に泣きつかずに自分でなんとかしないとだし、一回やった失敗を繰り返すようならどんどん評価が下がるね。
きれいなパワポをつくれる、ということじゃないよ。プレゼンが上手い人はコミュニケーション=相手にとって必要な情報をわかりやすい流れで提示することが上手い人。会話だってメールだって一種のプレゼンだと思おう。意図を汲んでもらうというコストを相手に支払わせてるようじゃそのうち煙たがれるね。煙たがれるならまだしも伝達不備でインシデントに発展したら目も当てられないよ。ちなみに増田のいた研究室だと週いちで週報のプレゼンを課されてたのでこの辺のスキルはメキメキ上達したよ。
「事故は起こることが前提」とか考えていることが浅すぎる。
同じことに見えるだろうが
事故は起こさない発想からくる対策は(再発)予防であり、事故原因の調査・分析・対策
つまりインシデントアクシデント・レポートに基づく再発防止策や、インシデント発生時にアクシデントまで発展させないための手順である。
事故は起こるものという発想からくる対策は、事故に対するリカバリーやダメージコントロール、事故原因とこれからの対策の説明、賠償である。
例えば、チューブの誤接続の問題が起きてからどんなにこの問題が起きやすいか、そして確認を徹底してチューブの誤接続が起きないようにしているかがうまく説明できても
「現場から要求来てたので誤接続しないチューブに変えました。詳しいことはわからないですが現場には信頼できる人がいてその人の要求に可能な限り答えて人や物を揃えるのが私の仕事です
そのため誤接続の事故は起きていません」という人のほうが偉いに決まっている。
事故は起こさない。これが究極の目標でありそのために努力しなければならない。
株式会社ディスクユニオンは29日、70万件以上の顧客情報が漏洩したと発表した。SNS界隈では前日28日からダークウェブへの流出が確実視(スクショあり)されていたが、夜が明けてからようやく重い腰を上げて公表に踏み切った。
以下に続く散文は、ユニオンを愛する者の率直な心境と受け止めていただきたい。
※6/30夕刻追記:
昨日のニュースを見た勢いで書きなぐった時は、自分自身の心のモヤモヤを吐き出すことがこのダイアリーの主目的であり、少しトーンが過剰な部分などもあったなと、今あらためて読み直し反省しています。
少しだけ、言葉足らずだった部分を加筆などしておりますが、ご容赦ください。
・パスワードの平文保存
こんなご時世だ。悪意のある行為で情報が流出してしまうリスクはどんな業種であっても否めない。ただ、今回最悪だったのはDBがテーブルごとぶっこ抜かれ、あげくパスワードを平文で持っていたということだ。暗号化処理せずにパスワードを保管するというのは愚の骨頂であり、ここに小売業としての前時代的な姿勢がはっきりと見えてしまった。通販事業は決して120%アウトソーシングしているわけではなく、社内にはフロントエンド/バックエンドを担当する社員もいるはず。ゆえに、なぜ?という思いが強い。偉い人たちは何が悪いのか理解できてなさそうだけど。
・第一報の遅れ
>6月24日の漏えい懸念から本日のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
>本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにまずはお詫び申し上げたい思いでしたが、不確定な情報の公開はいたずらに混乱を招き、
>お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、情報の収集と把握に時間を要しました。
>本日の公表までお時間を要しましたこと、重ねてお詫び申し上げます。引用元=https://diskunion.net/
違うんだよ。お客様へのご迷惑、は流出した瞬間から実際に目に見えるかたちで起こってしまった。SNSでは公式発表に先駆けて、「何が、何件、どんな風に」漏れたのか、情報が拡散されまくった。一方でユニオンは、早々にオンラインショップ(ここにはコーポレートページも含まれる)をクローズし、「緊急メンテ」という名の殻に閉じこもった。もし、SNSで話題になることがなければ、本当に7月4日までダンマリを決め込んでいたかもしれない。結果的に29日の発表では有効な対応策を提示できず、公式アナウンスの遅れだけがネガティブに目立ってしまった。少しずつでも、情けなくても、スピード勝負に出るのが最善だったと私は思う。
「いやいや、でもそんなすぐに公表するのは現実的に無理」と考える人もいるだろう。だが、2022年4月1日に施行日を迎えた改正個人情報保護法は、情報の漏洩時は本人に迅速に通知するなど、企業に個人の権益を保護する行動を強く求めている。
さらに、不正アクセスの痕跡など「漏洩の可能性がある個人データは、すべての該当者に通知する必要がある」と個人情報保護委員会は明言している。強調するが、漏洩の「可能性」が露見した時点でだ。そのタイミングで企業側には本人通知や事実公表のアクションが求められる。情報の収集と把握に時間をかけたというユニオンの初動は致命的な悪手であり、何よりコンプライアンス意識の希薄さを自ら明らかにしているようなもの。個人情報を取り扱う多くの企業が、この改正個人情報保護法への対応や関連規約のアップデートに追われていたのが今年の春前。ユニオンの準備はどうだったのだろうか。サイトが表示されない今となっては、確認する術がない。参考元=https://xtech.nikkei.com/atcl/nxt/column/18/02006/032800002/
現在もHPにはテンプレ通りのお詫び文と問い合わせフォームの連絡先しか掲載をしていない。会社概要、プライバシーポリシー、個人情報保護方針……何も表示されない。この重大なインシデントを起こしながら、なんとか目につく部分を隠して乗り切ろう、としているなら残念でしかない。
ディスクユニオンの公式Twitterは「@diskunion_news」のはずだ。異常なのは28日までスクリーンネームでキャンペーン情報を訴求し、投稿ではトートバッグやレコクリンをプッシュしていたことだ。これは店舗アカウントも同様で、粛々と普段と同じプロモーションをかけていた。しかし、29日になると公式も店舗もジャンルも、全て”喪中”かのごとく宣伝投稿を止めた。一斉にやめるくらいなら24日からやめるか、一人でも多くのユーザーに一刻も早くこの異常事態をアナウンスして周知してもよかったはず。悪さした小学生じゃないんだから、そこは意思を持った運用しようや。(※SmartFLASHの記事を読む限り、どうやら店舗が詳細を把握できたのは、ユーザー向けアナウンスと同一タイミングだったと認識するべきか。オンラインショップを緊急メンテに突入させた時点では、店舗に情報を下ろしていなかったという可能性が高そうだ。出典元=https://smart-flash.jp/sociopolitics/189040)
ここで、対応失策の遠因とも言えるユニオンの体制について考えたい。
ユニオンは中古品と新品を同時に取扱い、レア盤や特典商法、マニアックな品揃えで知られる。また、パッケージの復刻企画や自社制作も行っている。このバランスがあるからこそ、ユーザーに支持され、(たいしたイニシャル数をオーダーできないが)アーティストやレーベルからも好意的な反応を得てきた。ただの中古屋(●ックオフとか)をアーティストがリスペクトしますか?って話。しかし、この土台は大きく揺らいでおり、今となっては綱渡り状態に突入している。
約10年前、社長と専務に次ぐ人物がユニオンを去ると、ここから誰の目にも明らかな権力闘争が巻き起こった。中古を扱い粗利を稼ぐ「店舗」の人間と、新品仕入れや制作を担い音楽業界の”今”とユニオンをつなぐ「本部」の人間。詳細は割愛するが、結果として本流になったのは店舗側だった。そして、多くの名物社員や気概のあるスタッフ、何よりビジネスマインドを持ち良い意味で「サラリーマン」的だったキーパーソンが本部を離れた。退職した者の一部は、当時レコードビジネスに本腰を入れたHMVや、その後はタワーレコードにもジョインした。通販部門もECのプロフェッショナルではなく、いきあたりばったりの采配という感は否めない。
※追記1:組織/企業である以上、異動があることや、俗に言う「役職」につけるスタッフの数に限りがあることは当然であり、そこはユニオンも同じです。成績や年次やらが絡みますよね。“権力闘争”というワードを初稿で選んでしまった点について、書き手の私情が強めに入っていると言われれば、否定できません。違う表現を選ぶとすれば、組織内での大きなうねり・転換期がこの当時にあったということです。
※追記2:店舗=中古、本部=新品、という基本線はそのとおりですが、常に両者が喧嘩腰だったわけではないと念のため補足させてください。同じ音楽ソフトであっても性質が異なるこの2種が相互補完することで、ユニオンというブランドがここまで支持されてきた/事業として動いてきた、のは間違いありません。前述のうねりの中でこのバランスが以前と異なるかたちに変化した、ということです。
この頃からユニオンの新品仕入れ額は落ち込んでいるはず。音楽業界を支え、アーティストとレーベルが活躍できる土壌を小売として成熟させるには、新品を仕入れ、販売しないことには難しい。なにより、新品を仕入れて販売することで、その盤が今後中古市場に出回る可能性が生まれ、結果として中古市場の下支えにもなる。すでに中古市場に出ているレア盤を高額買取→高額販売してぶん回したところで、そこに未来はない。また、音楽業界という立場で考えれば、中古がいくら売れたところで、アーティストには1円も入らない。
さらに数年が経つと、結果として上層部は社長(※ファミリー経営2代目)と一部社員(※店舗叩き上げ)の集団になっていった。外部からの血も入れず、利益は上がるが、社員の給料は上がらない。レコードブームだから、とりあえず店は出して中古で埋める。廃盤セール(※ただし廃盤が安くなるわけではない)でいつものあの人に来てもらう……ここ数年、ユニオンの店先や棚から「勝負してんな、攻めてんな」という熱量を感じなくなったのは自分だけだろうか。ユニオンの器が小さくなったと感じるのは自分だけだろうか。
もちろん、一流の店舗スタッフが多数在籍していることも声を大にして伝えたい。決して中古推しがどうのこうの、いや新品推しがどうのこうの、という話ではないのだ。昨今のレコードブームの裏で、戦略と組織設計のバランスが崩れ、あるべき姿から逸脱し続けているというのが問題なんだと強調させていただく。青臭い思いかもしれないが、ユニオンが過去から現在まで、何を紡いできたのかということだ。
※追記3:組織/企業である以上、利益を確保することは当然です。そこは否定しません。ただし、私が知っているユニオンはそれだけじゃない要素が売り場に宿っていたと、抽象的な表現ですが感じていた次第です。じゃなかったら、あんなに店舗に通わないはずです。しかも狭い店舗に。
遡ればユニオンの創業は戦前。そこからなんとか今日までサバイブしてきたわけだから、そんじょそこらの会社とは良くも悪くも一味違う。ただそれは、ユーザーの知的好奇心を満たすため、中古品、新品、制作、流通、委託販売、アーティストマネージメント、販促、オーディオなど、様々な分野で試行錯誤を続けてきたからだ。もちろん中には失敗もある。オークション事業やイベントスペースなど、黒歴史になっているものもある。それでも「ユーザーにとって面白いことをやる」、そして「ユーザーを囲い込む」ことでユニオン経済圏を確立してきた。事業の中心にはいつもユーザー目線があった。
ただ、利益追求に舵を大きく切ったここ数年、そして今回の漏洩騒動での対応を見ると、どこか古き良きユニオンはもう幻となってしまったとすら思えてくる。
どんなに給料が安くても(陳腐な言葉だが)音楽とユニオンが好きだから支えてきたアルバイトや若手社員はどう思うだろうか。今回の初動対応をとった会社に、今後もついていく気が起きるのだろうか。そして後手後手の対応をとられたユーザーは果たして本当にまた戻ってくるのか。
ユニオンがしっかりとこの問題と向き合い、そしてもう一度適材適所の布陣で挑戦を始めるときが訪れれば、私はまた店頭に足を運びたいと思う(通販はしっかり対策して、原因と改善策明示してね。それからだ)。ずっと探していた中古の名盤と、今という時代の空気感をしっかりと伝えてくれる新譜を同時に手に取ることができる場所は、世界的にも希少になりつつあるわけだから。
最後に、HPのキャッシュから拾ってきたユニオン商い五訓を貼っておきたい。
ユニオン商い五訓
2 損得より先に善悪を考えよう
3 お客様に有利な商いを続けよう
※追記4:今回の騒動と組織の顛末を並列で吐き出したのは、あくまで私の主観(=ずっと感じてきたこと)が入っています。そこは最後にハッキリと書き記します。ここも当然、人それぞれで受け止め方が変わります。お前、こんなにダラダラ書いておいて最後に逃げるなよと、私自身も思いますが。
ユニオンに求めること、期待することもまた人それぞれなはずです。中古レア盤しか興味がない、最近レコードデビューしたからお手軽盤欲しい、新譜の特典にやっぱつられる、紙ジャケBOX最高、色々あるはずですし、そういった需要に応えられるのがユニオンの店舗/通販であると信じています。
音楽のジャンル同様に、確かな多様性がある世界で我々は日々踏ん張っています。この駄文も、絶対の正義ではないです。そのために書いたワケではないです。ただ、こんな世界線もあるんだ、くらいの受け止め方の方が、息もしやすいと思います。
反響に驚いてしまい、こんな当たり前のことを追記してしまいましたが、私はユニオンにもう少しだけ、期待してみようと思っています。
(了)
■尼崎のUSBフラッシュメモリに関するはてなブックマーカーの反応
甘すぎない!?
見つかって良かったね~。一件落着!
みたいな意見が多くてビックリしたし、終わった一件に対してどうこう言うのは野暮、みたいな意見もあってヤフコメ表示してるのかと思って混乱しちゃった。
はてなにいる人は、ITとかセキュリティに関してはある程度理解がある人が多いかと思ってたけど、今となっては利用者層が変わってしまったのを感じる。
担当者を責めてはいけないという意見や、インシデント発生の報告が早く比較的良い組織であるという意見はその通りだと思った。
以下、蛇足
セキュリティレベル規定外のユーザーが、機密情報にアクセス可能であることや、
規定されたセキュリティエリア外にファイル(が保存されたUSBフラッシュメモリ)が移動した時点でインシデント発生となり、
メモリの紛失や回収成否は関係なく、データ漏洩済みとして扱う。
また、USBフラッシュメモリがマンション敷地内で回収できたという報道があったものの、データ漏洩を阻止できた、とは断言できないのが困ったところで、
データ窃取した後、カバンに入れ戻された可能性があるため、「漏えいしていない保証はない」といったまわりくどい言い方をせざるを得ないのもそれが理由。
もし攻撃者がいた場合、尼崎市側がデータ漏洩済みか否か確定出来ない状態にあり続けるのがもっとも有利であることや、
悪意あるプログラムを仕込んだUSBフラッシュメモリを再度使わせ、そこを起点にさらにデータ窃取が可能である点から、
USBフラッシュメモリをカバンに戻すモチベーションが十分あり得るという困った部分もある。
続報で、カバンやUSBフラッシュメモリに担当者以外の指紋がないって報道もあったため、今回は大丈夫そうかなとぼんやり思いつつ、二次災害はありそうな気はしている。
「実はデータ漏洩していました!情報を削除するためにお金を振り込んでください。」みたいな。
自分もたまに機微情報を扱うことがあるので、こういう報道があるたびに担当者の胸中を察して胃がキュッとなるし、セキュリティコンプラについて振り返ってみるかという気になる。
甘すぎない!?
見つかって良かったね~。一件落着!
みたいな意見が多くてビックリしたし、終わった一件に対してどうこう言うのは野暮、みたいな意見もあってヤフコメ表示してるのかと思って混乱しちゃった。
はてなにいる人は、ITとかセキュリティに関してはある程度理解がある人が多いかと思ってたけど、今となっては利用者層が変わってしまったのを感じる。
担当者を責めてはいけないという意見や、インシデント発生の報告が早く比較的良い組織であるという意見はその通りだと思った。
以下、蛇足
セキュリティレベル規定外のユーザーが、機密情報にアクセス可能であることや、
規定されたセキュリティエリア外にファイル(が保存されたUSBフラッシュメモリ)が移動した時点でインシデント発生となり、
メモリの紛失や回収成否は関係なく、データ漏洩済みとして扱う。
また、USBフラッシュメモリがマンション敷地内で回収できたという報道があったものの、データ漏洩を阻止できた、とは断言できないのが困ったところで、
データ窃取した後、カバンに入れ戻された可能性があるため、「漏えいしていない保証はない」といったまわりくどい言い方をせざるを得ないのもそれが理由。
もし攻撃者がいた場合、尼崎市側がデータ漏洩済みか否か確定出来ない状態にあり続けるのがもっとも有利であることや、
悪意あるプログラムを仕込んだUSBフラッシュメモリを再度使わせ、そこを起点にさらにデータ窃取が可能である点から、
USBフラッシュメモリをカバンに戻すモチベーションが十分あり得るという困った部分もある。
続報で、カバンやUSBフラッシュメモリに担当者以外の指紋がないって報道もあったため、今回は大丈夫そうかなとぼんやり思いつつ、二次災害はありそうな気はしている。
「実はデータ漏洩していました!情報を削除するためにお金を振り込んでください。」みたいな。
自分もたまに機微情報を扱うことがあるので、こういう報道があるたびに担当者の胸中を察して胃がキュッとなるし、セキュリティコンプラについて振り返ってみるかという気になる。
事実は小説よりも〜というが、IT人材なら毎年受ける社内セミナーのインシデント事例に載っているような情報セキュリティインシデントはやはり起こり得る。
今日ニュースを騒がせた事例で言うと、「外部に持ち出し許可されていない重大な情報をUSBで持ち出し」「途中で寄り道をして(あろうことか1番の悪手である飲酒を行い)」「それを鞄ごと無くした挙句」「後の記者会見でパスワードの桁数と使用している文字種別まで言ってしまう」というお粗末加減。
これだけで30分くらいの教材が出来てしまう満漢全席フルコース事例である。今って令和だよな??
この事例の中で特にやばかったのは、
「後の記者会見でパスワードの桁数と使用している文字種別まで言ってしまう」
だろう。
桁数と文字種別まで言ってしまえば、総当り攻撃用のツールを使えば簡単に解析されてしまう、というITに携わる人間なら当たり前のように知っているであろうことを知ってか知らずか情報開示してしまった時点で、相当ITリテラシーが低いんだろうな…と思わざるを得ない。
自治体名のアルファベットがTwitterのトレンドに乗ってしまった今回のインシデントだが、
「そもそもなんでそんなに簡単なパスワードを設定した」と推測され、トレンドになってしまうほど騒がれたのだろうか。
俺は、未だにそういう自治体が多いから(もっと言うと、ネットでは馬鹿にしつつ、そういったパスワードで運用に携わったことのある人が多いから)だと思っている。
あっ、俺?言わせんなよ。
1番の要因は、「扱う人が非常に多いから」だ。
システムの種類や大小によって様々だと思うが、システムの開発先、運用者、また顧客側の担当者など、多くのステークホルダーが関わっている場合、そのシステムの利用者が一定分かり良いパスワードに設定されることが多い。
(自治体で内部向けヘルプデスクを設置している場合、各担当者からパスワードを確認された際に電話口で分かりやすいアナウンスが出来るよう『配慮』されているパターンもあるだろう)
開発と運用が同一ベンダーの場合、比較的ランダムなパスワードを設定することがあるが、入札によって対応ベンダーを決定する自治体という特性上、異なるベンダーに分かれてシステム運用がなされるケースもあり、その場合は自治体名などを文字ったパスワードが設定されることが多いと考えられる。
また、セキュリティの観点から定期的にパスワードを変更する運用が理想とされているが、それらステークホルダー全員への周知を行うのが手間という理由から、大体1年に1回、場合によってはシステム導入から1回もパスワードを変更していないという自治体も非常に多い。
とはいえ、自治体名をそのままパスワードに用いている運用は少ないだろう(……だよな?)
通常、情シス担当として気休め程度にはパスワードにランダム性を導入したいというのが心情だろう。
啓発の意味を込めて紹介するが、多いケースとしては以下であろうか。
・自治体名に何かの単語をつけるパターン(city,system,unyo,そのシステムに固有する単語等。taxとか)
・"i"を"1"や"!"、"a"を"@"、"z"を"2"など、見た目が近いものに置換するパターン
etc.....
こういうパスワード運用をしているやつ、内心ヒヤヒヤしてるんじゃないか?
俺?だから言わせんなって。
■最後に
どこかの自治体や企業のシステムを運用している人達には、同様のパスワード設定がなされていないか、パスワードの変更が定期的になされているかの確認が飛んでくるだろう。
ご愁傷さまだが、これを見直すいい機会にしようぜ。
俺もお前もな。
