セキュリティ意識の醸成は難しいことは分かるけど、あまり情シスに迷惑をかけないようにしたいものです。
ちょっとした騒ぎ
ある日の午後。
近くの席で数人と情シス課長がパソコンの前に立ってわやわやしている。
そっと聞き耳を立ててみると、なにやらよく分からない英語のメールが届いたらしい。メールの本文には午前中に行ったweb会議の内容や参加者の写真が含まれていて、お金を請求する類の文言も含まれているとのことだ。
『もしかするとweb会議やwebカメラがハッキングされたのではないか、これは脅迫メールではないか』
そういった疑いがあるため情シス課長が呼ばれたようだ。
まあ、そもそも大手web会議システムのセキュリティを突破してピンポイントで会議情報を収集できるクラッカーなんてザラにいるものではないし、そのような悪人であればもっと価値のある会社の意味のある会議を狙うだろう。
よってハッキングの線は薄いと思うが、面白そうなので聞き耳を続けることにした。
当人たちは「何もしていない」と述べている。
ただ、それを信じるエンジニアは恐らくこの世に存在しない。
何もしていなければ普通は何も起こらない。何かをしたから何かが変化した、そんな場合がほとんどだからだ。
プロダクトは経年で劣化したり物理的な故障や破損ということも起こりますので、本当に何もしてないのに壊れることはあります。
ただ、この発言が飛び出す場合、まず間違いなく何かしてるじゃないですか。
本当に何もしていないのだったらただ「壊れた」と言えばいいのであり、わざわざ「何もしていない」なんて言い訳をすることもないわけで、この発言が飛び出す以上、どう考えても大抵の場合何かしらやらかしているわけです。自身の行動に何らかの過失があることを薄々感じている後ろめたさがあるからこそ出る台詞でしょう。
「何もしていない」はこの世で信用できない言葉ランキングでも相当上位に位置していると私は思う。
情シス部長が根気強くヒヤリングしているのを聞いていると、どうやらweb会議中に見慣れないユーザーが入室していたらしい。知らない人の入室を許可している時点で問題だが、そこはアメリカにある現地法人の担当者がホストだったため仕方がない。
また、会議中になにやら許可を求めるポップアップが出たので許可したそうだ。
いや、分からないものを許可してはいけない。すでにこの時点で「何かしている」と言える。
さらにその後、登録画面が出てきたのでユーザー登録したらしい。
いやいや、もうがっつり「何かしている」じゃないか。分からないものに情報を登録するのは論外だ。
よくよく英語のメールをちゃんと読んでみると、トライアル期間の終了に関するお知らせと書かれているらしい。
ああ、なるほど、分かった。
オチ
もう、察するばかりです。
要するに『AIによる自動議事録書き起こし』システムをアメリカ人が導入していて、そのBOTが会議中に居た。そのBOTがユーザーを増やすためにお試し登録を求めてきて許可したためユーザー登録が必要になった。お試し期間が終わったので正式登録とお金の支払先登録が来た。ただそれだけの話でした。
ハッキングでもなんでもなく、ただのリテラシー不足の話です。
とはいえそもそも情シスが許可していないBOTを導入しているのも問題ですし、それを知らずにユーザー登録してしまうのも大問題なのですが、その是正と教育は情シス課長に頑張ってもらうこととしましょう。
そして何はともあれ、当人としては嘘のつもりはまったくないのでしょうが、「何もしていない」はやはり信用していい言葉ではありません。
結言
日本や欧州はオプトインが基本ですが、アメリカですとオプトアウトでの活動が許可されている場合もあります。つまり情報が流出しないようにするためにはただ許可しないだけでなく拒絶が必要になる場合もあります。
そういった認識を一例として様々な仕組みやルールを学んでセキュリティ意識を高めていく必要が個々人にあるのですが、その実際の醸成はなんとも、難しいものです。