原発事故とソニー事件
東日本大震災に端を発する福島第一原子力発電所のメルトダウン事故と、7700万件の顧客情報を漏洩させてしまったソニーのPlayStation Network(PSN)/Qriocityの不正侵入事件。つながりがないように見える二つの事件ですが、日経エレクトロニクス7月25日号特集の「守れない時代のセキュリティー 〜ソニー事件が教えたこと〜」を書き終えた今、問題の根は実は同じ所にあったのではないかと感じています。
両事件をつなぐキーワードは「想定外」です。原発事故がここまで悪化した理由として、東京電力や政府から「想定外」という発言が相次ぎました。巨大津波が押し寄せ、緊急冷却用のバックアップ・システムが喪失する事態は想定できなかったというわけです。
PSN/Qriocityからの情報漏洩は、Webサーバー側のプログラムの脆弱点が突かれ、最終的に顧客データベースを覗かれたそうです。詳細な手口については、ソニーから詳細な説明がないため、ここからは推測になりますが、その端緒となったのはPlayStation 3のハッキングだったと思われます。PSNには、PS3に格納された専用の鍵がないと接続できないようになっていたと推測されるのですが、PS3のソフトウエア実装の不備から鍵が割り出されてしまい、ソフトウエアが改変されたPS3やパソコンからアクセスできるようになってしまったようなのです。つまり、最初の門を突破できたことから、Webサーバーのプログラムにアクセスできるようになってしまい、侵入されたわけです。
鍵が割り出されてしまったPS3ですが、そのセキュリティー・システムは、素人である私の目には隙がなく見えました。ソニーの技術者も、その堅さには絶対的な自信があったと思います。PS3側が破られるとは思っていなかったために、「Webサーバー側に不備が残っていても、後で直せば大丈夫」という甘えがどこかにあったのではないでしょうか。つまり、PS3からの鍵の漏洩は「想定外」だったわけです。
この両方の事件を見るにつけ、日本人の潔癖さの悪い面を感じてしまいます。つまり、完璧を目指して製品を作る一方で、どこかにほころびがあった場合の対策を考えていないという傾向です。1点で完璧を目指すのではなく、様々なところで安全弁を用意し、そこが破綻しても大きな問題には至らない。そんな製品の作り方が、今求められていると感じています。