少し前の話になってしまいますが、今年の夏はコンピュータウィルスが世界的に猛威を振るいました。日本でも企業などのサーバーが、感染のため停止するという被害が続出したようです。感染被害を受けた企業の話によると、内部の単純な人為的ミスが原因というものが多かったようですが、実は、私の研究室も、8月に感染被害に合ってしまいました。私達が経験した感染の経緯と、その後の対策は、あらゆる組織にとっても参考になる話だと思いますので、恥を忍んで、ここで紹介します。

始まりは、4月に卒業していった学生の使っていたPCをある留学生が受け継いで使用していたところ、8月の初め頃にウィルス感染してしまったことでした。その時の感染は、そのPCのみに留まり、外部への被害もほとんど出ないうちに対処出来たのですが、日常的にメールとインターネットを使用している学生が、ウィルス対策について、まったく無知であったことに驚かされました。Windowsの更新も、ワクチンソフトのウィルス定義の更新も、PCの完全スキャンも、4月に受け継いでから一度もやっていなかったのです。ゼミ生全員に対しては、事ある毎に「ウィルス対策を各人でしっかりやるように」、「一人の感染は、全員への被害」、「怪しいサイトへのアクセスやダウンロードは絶対禁止」などと言ってはいたのですが、口頭での注意喚起だけではダメという現実に、次のような対策案を作り、実施することになりました。

1. ゼミ室のネットワーク管理委員会(学生自治体)の責任と権限において学生全員のPCの必要な更新状況と完全スキャンを毎週チェックする。
2. 学生全員への毎週のチェックは、メール問いかけで行い、返信期限までに返信しない学生には、ペナルティを科す(ゼミ室の掃除当番一ヶ月など)。
3. 違反行為を繰り返した学生に対しては、個人アドレスの停止などを含めた厳しいペナルティを科す。

これの実施により、各人任せだったウィルス対策の実施確認が出来ることになり安心していました。ところが、この制度の実施から二週間足らずの内に、今度は二台のPCがワーム(今夏流行したやつです)に感染してしまいました。一台は、先の留学生が使用しているもので、もう一台は、サーバーの一つを管理しているベテラン(?)学生のものでした。両方とも感染した理由は、信じられない人為ミスによるものでした。まず留学生の方は、前の感染のこともあったので、確信犯かと思ったのですが、実は、二台のマシンを使用しており、通常、メールやネットアクセスに使用している方のマシンは、毎週更新・完全スキャンを実施していたが、もう一台の方(感染したマシン)は、めったに使わないので、それらの対策を怠っていたと言うのです。また、ベテラン学生の方は、就職が決まっており、夏休み前から、ほとんど学生室には来ていない状態でした。しかし、サーバーを一台管理しているベテランということもあり、信頼していたのですが、信じられないことに、そのマシンが、まったく更新もスキャンもされないまま数ヶ月も放置されていたのです。このワーム感染は、外部への被害も出て大変な迷惑を掛けてしまいました。

その後、学生同士の話し合いで、ネットワークに繋がっている全てのマシンをもれなくカバーすることと、思い込みによる抜け穴がなくなるような対策案を作り、実施していますので、今後は、この様な問題は起きないでしょう。

今回のことで実感したのは、「人間はミスを犯す動物である」ということと「有効なマニュアルを作っても、一人守らないことで、全てが無効になる」と言うことです。いずれも原発事故などで証明済みの常識なのですが、学生にとっては、実体験したことが将来への財産となるであろうことが、せめてもの慰めです。

この様なセキュリティ対策は、ネットワークに依存するあらゆる組織にとって重要な課題ですが、テレワーク化を目指す組織にとっては、更に深刻な問題となります。技術やマニュアルだけでは不十分であり、ユーザー一人一人のセキュリティに対する意識と責任感をどう高めていくかが鍵になるでしょう。