旅の食堂ととら亭ブログ

ワクチンを打つにも、
まず越えなければならないハードルが予約取り。

僕らはこういうのに慣れているので何てことはありませんが、
離れて暮らす義母の予約を代行しようとしていた矢先に流れたのが、
ワクチン予約システムのバグについての報道。

その後は官業双方に分かれた非難合戦が繰り広げられていますけど、
元ＳＥの立場から言うとですね、

これはメディアさんがＮＧですよ。

なぜか？

僕は法律の専門家ではないので違法性うんぬんは分かりませんし、
報道の自由や国民の知る権利について風呂敷を広げる気もありません。

ただ単純に、システム運用をやっていた経験から言うとですね、
ペネトレーションテストを運用側に無断でやるというのは、
システム運用上ありえない話です。

しかもそのテストはサービス提供中に抜き打ちでやっており、
かつ、そのサービスはコンサートやレストランの予約システムではなく、
国家レベルで緊急性の高いものでしょ？

ペネトレーションテストは場合によって、
システムの状態に深刻な影響を及ぼすことがあります。
ですからやる場合は、
運用側、テスト実行側で事前に綿密な打ち合わせを行い、
サービスを提供していない時間帯を選んで、
最悪、システムがダウンした場合の対策(体制も)を準備して、
慎重にやらなければならないものなんですよ。

今回の無断ペネトレーションテストは、
ランダムな番号を入力する程度のものでしたが、
(もしかしたら他にもやったかもしれませんが・・・)
こうした無謀な行為が正当化され、
より危険な攻撃、
たとえばSQLインジェクションや、
バッファオーバーフローなどをしかけるようになると、
場合によっては本当にサーバーがダウンしてしまう可能性があります。

また、これみよがしな情報公開のタイミングも、
公益に反したものだと言わざるをえないでしょう。
なぜならシステム側がパッチを当てる前に攻撃方法を公開してしまうと、
愉快犯が便乗してあれこれ攻撃を仕掛けはじめ、
予測不能の２次的な問題を引き起こす可能性が高まるからです。

ですから抜き打ちペネトレーションテストは論外としても、
バグを見つけた場合はまず運用側にそれを伝え、
パッチを当てた後に、どうしてもやりたいなら情報を公開する。
これがある意味、ネット上のＩＴシステムを扱うルールなのです。

というわけで、今度はいちユーザーの立場で申し上げますと、
今、このワクチン予約システムで大切な作業をしようとしていますので、
メディアの皆さま、そこのところをご承知おきくださいませ。

えーじ