三田典玄の電網解説「だからそれは、さ」

だいぶ前だけど、自分たちの作ったインターネットのサーバ側のシステムで、システム監査を受ける必要があって、第三者の、外資系の超一流と言われる監査会社にシステム監査をお願いしたことがある。

監査をする、という以上、それなりの知識と用心深さなんかはあって欲しいもんだな、と、思いつつ、当日の監査を受けた。特に厳しく、かつそういう会社のセールスポイントになるのは、「ペネトレーションテスト」という、テストだ。

このテストは、実際に外部からシステムに対し、悪意のある攻撃と想定した攻撃を行うことによって、そのシステムがどれだけ堅牢にできているか、ということを調べるテストだ。

で、やってきました。当日何も知らない「ハッカー」然とした若者たちが数人。いかにも、その手の業界という、汚いジーパンにネルのシャツ、ボサボサの髪、というそのいでたち。いいじゃないの！その格好！はまってるよ！と、思わず拍手したくなっちゃいました。さて、お手並み拝見。

で、試験は背後で見ていると、よく使われるポートスキャンをするツールなんかを使って、いろいろな試験をしている。なーるほど、ぼくが思った通り、通り一遍の試験しかやってないね、ということがよくわかった。しめしめ、なんてほくそえんだのはぼく。

ここでいじわるおじさん(←ぼくね)は、きっちりとその若者たちに、これから起こるであろうことをわかったうえで、彼らと会話を交わす。

「きみら、nmapで全部のポートを調べてるんだよね？」
「そうです」
「なにか疑問なことがあったらいつでも答えてあげるからね」
「そのときはお願いします」

で、質問は１つもこなかった。

いよいよ結果が出ました。「大丈夫でしょう」という結果がとりあえず文書で報告されました。そこでぼくの出番。監査会社の方々、そして監査を受けるシステムの会社の社長もそこに全員集まっていた。で、ぼくはそのレポートを一通り聞いた後、こう言った。

「でさ、XXXX番のポート、わざと開けてあって、そこにはパスワードが暗号化されずに通るようになってるんだけど、レポートにはなにも書いてないよ。あ、それとXXX番のTCPとXXX番のUDPも空いてる。これはアプリケーションソフトで使うんだけどね」

この瞬間、「外資系超一流システム監査会社」の方々は全員凍りつきましたね。監査漏れの指摘ですから、当然です。「超一流外資系」の看板が、音を立てて目の前で崩れておりました。それまで弁舌さわやかだったその会社の責任者とおぼしき黒いめがねのお兄さん、それからずっと黙っておりました。

「すみません。じゃ、追加で調べます」
「やってみてね」
（数時間の間）
「あ、やっぱり空いてました」

その若者は素直でよろしい、と思ったよ。

キミら、修業が足りないねー、とはさすがにイジワルな私も言わなかったけど、面目は丸つぶれだったことは、誰の目にも明らかだった。

技術の世界ってのは、こういうことがときどきあるから面白い。犬の喧嘩、とぼくは言うのだが、技術者どうしがワンワン、キャンキャン5分もやると、どちらが上か、ってことがすぐにお互いにわかって、すぐに静かになる。それぞれの社会的地位とか立場は関係なく、その技術の差がすべて、という場面がかなり頻繁に出てくる。これが「モノつくりの現場」の厳しさの１つだ。

まぁ、それはともかく、「システム監査」そのものを監査できる、あるいはこういった「監査会社を試す仕掛け」くらいは仕掛けておく、くらいのことをして、監査を受け入れる側はいろいろと用意しておくと、その監査が本当にまともなものかどうか、試すことができる。まったく、監査がまともにできているかどうか、という監査も必要な時代なんだな。「人を信用できない」ということの連鎖のようにも感じて、悲しくもあるけれど。

もっとも、こういうシステム監査では、ペネトレーションテスト以外にも、社内のシステム保守体制なども監査の対象になっている。もちろん、それは技術とは関係ない監査だ。これもまた、重要な監査項目であることは論を待たないから、ペネトレーションテストのみを取り上げて云々するのは間違いだ。でも、ペネトレーションテストは、その中でも重要な項目であることは確かなんだけど。

え？その監査会社の名前を知りたい、って？いや、誰でも知ってる、世界的にとても有名な会計監査会社の子会社ですけれど、それ以上はぼくも言えないな。技術者の若い彼らも可哀想だったし、そのうちいい加減な監査をしているところは訴えられたりして、明らかになっていくと思うから、なにもここで発表しなくてもいいわけだから。