読者です 読者をやめる 読者になる 読者になる

山田花畑のおしゃべりブログ

糖質制限 (MEC) ダイエットやレシピ、お弁当、低糖質食品や知恵袋など、いろいろ公開しています♪

ランサムウェアとタヌキ祭り

みなさま、こんばんは。

少し前、タヌキと決着がつき、戻って参りました。

タヌキとは、春からコンサルに入っている現場の、部長、課長、そいつらの上司諸々ですね。

 

今までに、中規模システム環境の環境更改プロジェクトで、プロジェクトマネジメントを数回やらせていただいたのですが。。

今回痛切に感じました。

 

システムの健全性は、その企業団体の健全性に等しく、また、そのシステムの健全性はシステム管理者の机の上の整頓具合に等しいと。

そして、要職にあるかたがこのブログを見ることは、、無いとは思うのですが、どこにどんなご縁があるかわかりませんので、厳しい日本の IT の運用の現状について書きたいと思います。 

f:id:hanabatake3:20170519225628j:plain

今日までの現場 (結論から言うと、私は調査結果を率直に申しあげたために、口止め?のためか来週から暇をもらいました ) この現場にあるサーバーには、日本国家の機密情報もあれば、大企業の機密情報、そして一部の日本国民の人権を守るためのデータが格納されているはずなんです。

 

私はそのデータの実態を見たわけではありませんし、「見た」と書くと後々問題に発展する可能性があるため、書きません。

サーバーのほとんどが Windows Server でした。

そのうち 20 台弱が Windows 2000 Server 、Windows Server 2003 。

また 100 台近くのサーバーに 3 ヶ月以上 Windows Update がかかっていませんでした。

ひどいものになると 6 年とか、構築以来一度もとか、一個のセキュリティパッチもインストールされていないとか。

そんなサーバーがゴロゴロしていたんです。

 

この現場には、優秀な管理者が就業しても、すぐに辞めてしまうと聞きましたが、うなづけました。

管理者が何かをやろうとすると、潰しにかかる。

口封じにかかる。

 

就業 3 日目に、何かがおかしいと思いました。

4日目に、部長になぜ歴代の前任者が辞めたのか、理由を聞いたところ、今いる管理者と反りが合わなかったとか、課長がいじめたとか。。

しかしながら、そんなことを言っている場合ではないため、2000、2003サーバーをすぐさま環境から外し、危険なサーバーのアップデートを即刻かけましょう!と申し上げました。

 

では、「現状を調査し、提案してくれ」と言われ。

そこから日々数百台のサーバーの状況を徹底的に調査し、資料にまとめ、さらにそのデータをまとめたプレゼン資料を作成し、優先順位をつけて説明したところ。

結果、その資料を部長が確認したのは昨日のことでした。

 

知識のあまり無い管理者のいる現場では、ずさんなシステムが稼働している企業がありました。

 

でも、この現場は。

知る人ぞ知る。

高学歴で言うところの最高学歴を持ち、社会的地位が非常に高い頭脳集団で構成された組織のはず。

そして、ここにあるデータは死守されなくてはいけないはずで。

Windows 2000 や 2003 なんか間違っても動いていてはいけない場所のはずでした。

 

ドメインコントローラーと言う重要なサーバーについては 3 年ほどアップデートがかけられておらず、アップデートをかけるためのセキュリティサーバーにすら、基本的なアップデートがかかっておらず。

設定に不足があったり、諸々の問題が散見されました。

 

先週末は、そんな事情から新規にアップデートサーバーを作りながら、ネットワーク管理者に現状を話し、重要なサーバーだけでも単独にアップデートをかることのリスクはどの程度のものか、確認をしたところでした。

 

このネットワーク管理者は、運用に問題があることは熟知していても、自分から行動はしないかたなので、返答も、「リスク分析をして評価して決める」とありきたりのものでした。

 

リスク分析のできる能力のある団体だったら、こんな惨状にはならないでしょう。

 

誰も、自分が所属する組織のシステム環境を真面目に考えていない状況に頭を抱えました。

前回のブログの記事に書いたように。

サイバー攻撃を発しかねない状況でありました。

 

そして同日、ランサムウェアによる、世界規模のサイバー攻撃が発生しました。

週末課長と部長が必死こいてアップデートをかけた履歴が確認できました。

よかったと思ったのもつかの間。

作業漏れがあるから、追加作業をしてほしいとの依頼がありました。

追加作業を実施するにも、現状把握をしなくてはと再び調査をしたところ。

 

これまた、作業漏れどころの話ではなく。

 

重要な更新が 100 個以上適用されていなサーバーがゴロゴロ。

一個のアップデートもインストールされていないサーバーも数台。

 

課長、、部長、、一体なにやってんです!

 

状況報告をすると、今月末までに対応するからと。

ごめんなさい言葉が悪いですが「ぬかしやがった!」

馬鹿野郎!ふざけるな!

こんな事態に、人に作業を押し付けて部長は休暇。

 

側からこの状況を憂いた社員のかたが援護射撃に入ったところ、情報システム部の責任者と言う「先生」と名のつくかたが緊急のミーティングを開催。

良識のある先生と聞いていたので、ホッと胸をなでおろしたのもつかの間。

 

部長は、「作業は全部自分がやるから、提案が必要だったら書類を提出すること」と。

 

別の社員のかたが、「山田さんが今までたくさんの提案資料を提出していたのを知っています。なのに、これ以上何を提出しろと言うのですか?

作業は山田さんに頼むべきです」と追撃をしてくれました。

(一体「先生」はミーティングで何を言ったのか??)

 

私は、懸案事項をまとめて提出した資料や手順書、設計書、仕様書、今まで必要と思われた全ての書類を改めてメールに全部記載し、その提出目的も記載し、プレゼンテーションはメールに添付し、情報システム部全員に CC を入れ送付しました。

 

2000 が動いていていいのか? 2003 が動いていていいのか?事故が起きたら (例えばウイルス感染や、情報漏洩など) ここで仕事をしている人が職を失うでしょうし、日本の大きな社会問題になるでしょうし、場合によっては国際問題にも発展しかねない。

エンジニアはどんな利害関係があろうと、傍観してはいけない。

守るべきものを守るために私たちは仕事をしていることを忘れないで!!との思いを込めて送付しました。

 

担当の先生方も CC に入れました。

先生が CC に入ると、部長の言葉遣いが丁寧になりました。

月曜日の口調はヤクザみたいだったのに!

しかし、どうしてでしょう。

すぐやるとは言わない。

できるだけ早急にやりますからと、再起動は週末かけますからと寝ぼけた返信がくるのです。

 

私はメールの本文に、再起動をかけなくては、インストールしても適用されない、寝ぼけたことを言っている場合ではないこと、これは企業生命に関わる問題以上に重要なことで、私の首よりも大事なことだからと、率直に何をするべきかを返信しました。

部長はだんだん泣き言を返信してくるようになり。

「わかりました。山田さんの言うとおりにします。そして 2003 を運用し続ける方法があったら教えてください」

 

そばにいたら、頭をどついてやりたいと思いました。

運用し続けて良いわけがない。

それにその方法を 5/15 に伝えています。

 

そこへ、「先生」から追撃が入りました。

「部長君、すぐに止めることはしないで、業務への影響を「ちゃんと」考えてから止めてください」

「山田さん、提案してくれるのはありがたいが、運用については委員会で決定するから、これ以上提言いただく必要はない」

今から1秒後に感染する可能性が山盛りの環境なのに???

タヌキはお前だったか。

とうとうしっぽを出したか。

何を根拠に「ちゃんと」なのか言ってみろ!

このメールは良識ある誰が見ても、あんたが馬鹿だと思いますぜー。

※ 良識の無い人にはわかりません。

 

最後のメールには人事担当者にもCCを入れました。

なぜ、優秀なエンジニアが就業間も無く退職してゆくか。

事態が把握できなければ、あなたもタヌキです。

 

言うべきこと、報告すべき懸案事項、そして対策は全て文書にして提出していたので、これ以上私のすることはなくなりました。

先生には「先ほども申し上げたとおり、申し上げることは全てお伝えしてありますので、これ以上のことはございません」と返信しました。

 

業務データを持つもの、個人経営の会社であっても、顧客のデータを持つものは、そのデータを死守する社会的責任があります。

制度化されなければ守られないものなのでしょうか。

私は目の前で、システムがウィルスに感染するのを見てきました。

あとの修復が大変でした。

 

一分一秒を争うことなので、ある現場ではシステム管理者がサーバーに続く廊下をものすごい勢いで、走り抜けて行きました。

 

ある企業では、情報漏洩のため、その生命が絶たれるものもありました。

事故を起こした個人が社会的制裁を受けたりもしていました。

 

データは触ることができない。

実態はあるようで無いし、無いようで実はちゃんと存在しています。

 

これらのものを守れない人=タヌキには共通点があることを実感しました。

 

総じて見栄っ張り。

不備を指摘されると逆ギレする。

(コンサル入れる意味が無い!)

そして、

守るべき大切なものがわからない。

その優先順位もつけられない。

現実から目をそらし、そして逃げる。

結果、

大切なものを失う。

 

丁寧に言葉を重ねても、通じない。

わかろうとしないのでしょうか。

 

なぜ、修復のために自分のできる最善の行動を取らないのでしょう。

プライドが邪魔をするのでしょうか。

そんなの、一言ごめんでいいのに。

言えないか。。

 

私をかばってくれた社員のかたは、とおりすぎる私が見えなくなっても、深々と一礼した頭をあげませんでした。

「こんな思いをして戦ってくれて、申し訳ありませんでした」

と。

 

そして、別のかたからはお礼のメールが届いていました。

「今まで管理職からうやむやにされてきた部署の中の闇が晴れました」

と。

 

そして、私をこの現場に送り込んだ出向元の担当者は、最後まで私を守ってくれました。

以前の現場のかたからも声援をいただきました。

 

心あるかたには通じるんだと思いました。

白い視線を投げかける人もいました。

でも、やっぱり長いことこの仕事でご飯を食べてきたので、最後まで言うべきことは言って良かった。

 

だから、私の口はもううるさ過ぎて不要になったのか、もう二度と来てくれるなと。

 

「先生」と言われる方々は、人権を守るお人ではなかったのでしょうか。

時には労働者を守る立場になることもあるのではなかったでしょうか。

 

だからこそ、社会的責任があり、死守しなくてはならないものを見誤ってはいけなかったのでは無いでしょうか。

残念でなりません。

悔しいのは、ここで真面目に働いているかた達を見届けられなかったこと。

この団体に大きな信頼を寄せて仕事を依頼してくださっているクライアントの方々に、結果をお見せできなかったことに尽きます。

 

濃い一週間でした。

 

 

次の現場は決まるでしょうか。。

決まるまで自宅待機なので、少し心身ともに休めたいと思います。

 

最後まで読んでくださり、ありがとうございました。

あなたの身近には、こんなことがありませんよう。

そして、ご自身のデータを大事にしてくださいね。

日本には、まだまだこのように無責任に運用されているシステムが、たくさんあると言う現実のお話しでした。