IT企業のサーバーの中身が「丸見え」

次に紹介するのはZ社のケースだ。売上高が年に数兆円のZ社は、都内に巨大なコンピュータセンターを単独ビルとして所有している。そのセキュリティ対策を実施したいと依頼があり、私はアメリカから専門家を連れてきて、作業に取り掛かった。サイバー面ではトップクラスのハッキング能力を持ち、セキュリティの物理的な面でも特殊部隊のような能力を有するチームだった。

まず最初、ハッカーのようにインターネットを通じてZ社のシステムへの侵入を試みた。これは実に簡単だった。Z社はハイレベルの製品を世に送り出しているIT企業だが、そのサイバー面を少し突っついてみたところ、容易に内部に入り込むことができ、サーバーの中身を隅々まで見ることができたのだ。

このとき、アメリカの専門家は、「この会社の製品は危険だ」と言った。理由を聞くと、「Z社はITの最先端の製品を開発・製造・販売しているのに、自社のシステムにパッチも当てていない」という。

物理的にもカンタンに社内へ侵入できる

コンピュータセンター全体のセキュリティ・チェックでも驚くべき結果が出た。

外部からセンターの様子を観察すると、夕方から朝までビルの正面玄関が閉じられ、裏口(夜間通用口)が使用されるのだが、ガードマン詰め所が無人になるという隙があった。ガードマンが1人体制なので、トイレに行くときと喫煙に行くときに無人になってしまうのだ。さらに、詰め所の前を身をかがめて移動すれば、気づかれずにセンター内に入れることも判明した。

続いて、昼間の状況を観察した。当時、Z社のセンターには、大都市の駅の改札のようなIC入構証をかざすゲートはなかった。正面玄関を入るとロビーと受付があり、ガードマンが立ち、受付嬢が座っている。そして、ある受付嬢とあるガードマンという特定の組み合わせになったとき、隙が生じることがわかった。お互いに気があるらしく、相手の様子をしきりにうかがうので、部外者が堂々と入っていくと、その態度に安心するのか、どちらもチェックしないのだ。

また、受付を通った先にある要人用エレベータの場合は、黒塗りのハイヤーで乗りつけた白人(私のチーム)が、スーツ姿にアタッシュケースを提げ、堂々と「hi!」「hello!」などとにこやかに挨拶すれば、そのまま受付を通過してエレベータに乗ることができた。