セキュリティ技術者は犯罪者と紙一重！？

■セキュリティ技術者は犯罪者と紙一重！？

先日、ITPro にこんな記事が挙がっていた。

ウイルス保管容疑でセキュリティ企業ディアイティの社員逮捕、同社は反論
http://itpro.nikkeibp.co.jp/atcl/news/17/110102576/?rt=nocnt

いつも通り、当事者でもなければ詳細まで分からないので、何とも言えない。

が、これをきっかけにちょっと思うことがあるので書く。

このニュースに限らず、セキュリティの業務を隠れ蓑にし、不正行為を働こうとしていたなら、それは厳しく罰せられて当然である。

ただ、気になったのは、『悪意が無い場合』。

情報処理安全確保支援士を目指す人なら分かると思うが、マルウェア解析は重要な仕事の一つである。

解析する場合には、当然、検体、すなわちマルウェア本体が必要となる。

よって、それを解析環境に保存することは、業務上必要不可欠となる。

ここで、当然ながら、マルウェアなので扱いは十分気をつけないといけない。

解析環境に置く以上、解析環境から再感染しないようにすることが必要不可欠である。

が、マルウェア側も然る者、

・ネットにつながってないと活動を止める、

等、解析をされないようにする物も結構ある。

そうなると、極力本番に近い解析環境を用意しないといけない。

この際、もしちょっとでも

・firewall の設定をミスする

等が起こってしまったら、再感染させてしまうかもしれない。

セキュリティ技術者である以上、こういった事が起こらないよう、

十二分に検証・確認しながら進めないといけないのは当然。

とはいえ、人間がやる以上、ミスは起こりうると考えるのも当たり前。

で、ミスしてしまったら、犯罪者扱い、となると、誰もセキュリティなんて仕事をやらなくなってしまうのではないか？

今回の事件が本当に悪意ある行為の結果であれば、厳罰に処して欲しいと思う。

一方、ミスなのであれば、それを罰することは適切ではないとも思う。
＊でないとセキュリティの仕事なんて、リスクがでかすぎて誰もやらなくなってしまう。

その線引きは非常に難しいと思うが、

『セキュリティの仕事はリスクが大きいだけ』

という状態を作らずに済むよう、自分自身も含め、世の中的にも考えて欲しいと切に願う。