つい最近似たような内容でいて、結果の違うニュースがありました。
http://www.yomiuri.co.jp/national/20160626-OYT1T50125.html
アメリカの方は少年の能力が高く評価されて表彰される一方で、技術的には同じような事をした日本の少年が逮捕されました。
ペンタゴンが自ら「セキュリティホール見つけてくれや!」って主催したやつらしいので、コンテスト色が強いですが、どちらも公的機関のシステムの穴を見つけたというのは同じですね。
日本における「ハッキング」という言葉の誤解
日本では「ハッキング」と聞くと情報を不正に盗んだり、システムを壊すような行為を想像する方が多いと思います。
イメージとしてはマイナスの印象が殆どでしょう。
ただ、この「ハッキング」という言葉は本来「高度な技術でコンピュータやソフトウェアを利用すること。研究、調査する行為」を指すので、その行為そのものに善悪という概念はありません。
日本でよく使われるハッキングというのは「クラッキング」という言葉を用いるのが正しいと思われます。
この「クラッキング」はつまり「悪意をもってハッキング行為をすること」なので、ニュースにも取り上げられるような、システムに侵入して情報を盗み、それで利益を得るなどはクラッキングにあたります。
当然、このクラッキングはどの国でも刑法に引っかかると思うのでやってはいけません。
ただ、日本では上記のように「ハッキング」までも違法の印象があるため、それが日本の政府機関や一部民間企業のITセキュリティ向上において弊害になっているのではないかと考えます。
ハッキングができる人は優秀
私が佐賀県のニュースを見た時の第一印象が「才能豊かな17歳だな」というものでした。
当然、個人情報などもの盗みとって、どこかのサイトに公開していたということは罰せられるべきだと思いますが、公的機関のシステムに侵入する技術を持っていることは事実です。
もし僕が今回はシステムを侵入された組織の関係者なら「ちょっとうちのシステムどこが穴だった?教えてくれ」と打診するかもしれません。
そしてそのままITセキュリティ部門に採用します。どうやら無職らしいので。
IT人材の不足・現場と上層部の認識のズレ
人材について
特に「本当に人材がいないんだな…」と感じたのは2012年に起きた「パソコン遠隔操作事件」でしょうか。
この事件はパソコンの遠隔操作で他社のPCから犯罪予告などの書き込みを行い、操作を撹乱した事件です。
これで警察は誤認逮捕を数人出しています。
結果的に誤認逮捕された方達は釈放されましたが、いくらなんでも誤認逮捕しすぎです。
おそらく「書き込みをされたPCが遠隔操作されている」という発想がなかったのでしょうか。
ITの世界は新しい概念や技術が物凄いスピードで更新されていきます。
「今までこの状態で問題なかったから平気でしょ」と考えているとあっという間に情報を抜き取られるということは珍しくないと思います。
「ちょっとパソコン管理ならできます〜」程度のIT部門ならセキュリティ的にはいないと同義なので、セキュリティ部門を外注に出すか、プロフェッショナルを採用するなどしないといけない組織は多くあるでしょう。
組織における上層部との認識のズレ
社長や組織の幹部がIT関係に無頓着で全くリスクを考えてないという状況のため、IT管理部門が現場との板挟みになるという職場は多いと思います。
私も前職の時、そのような人たちを多く見ました。
結局、現場はセキュリティ体制に問題意識を持っていても、その上に立つ人達の認識が甘すぎる故に、決済が通らなかったり、新しいセキュリティシステムを社内に浸透させる時に協力的でなかったりなど、実に苦労している人達がいらっしゃいます。
ハッカーを職業の1つに
日本ではハッカーというとハッキングという言葉の印象をそのまま受けてイメージ最悪だと思いますが、所謂正しい意味でのハッカーという人をもっと積極的に育成する必要があると強く感じます。
イメージが悪いと才能があっても目指さない人ばかりになってしまうので「ハッカーとして胸を張って生活できる」という環境を作れば自然とハッカーになる人が増えるのではないでしょうか。
それが、ひいては日本のITセキュリティ向上に繋がるのではないかと思います。
IT系の良い人材は早く確保しないとすぐに海外に行ってしまいますからね。
そりゃ、自分の能力が評価される国で働きたいと思うのは当然ですし。
とりあえず、佐賀県はタブレット導入でも完全に失敗してますし、IT関係は瀕死状態なんじゃないでしょうか。
パワプロだったらピッチャー完全にピヨってますよ。
自分が住んでる自治体でも同じこと起きなければいいですが。
