コラム第1編「情報処理技術者試験の意味」で,私自身があまり情報処理技術者試験に価値を置いていないことを書いた.資格が仕事をするわけではないし,知識と経験を備えた人材が仕事をするわけで,最低限の知識と経験しか問われない情報処理技術者資格がなんぼのものかということなのである.ところが,それをわきまえずに合格したことを鼻にかけるような自覚に欠ける人間が少なくない.
ある組織で,初級シスアドに合格したばかりの人間が声高に組織内のBBSに書き込んだ内容が以下のようなものである.
通産省認定初級システムアドミニストレータ資格保持者のXXXです.
最近,組織内の非公式メーリングリストを通じて,Happy99※が添付されていることが多くなりました.ネットワーク管理者の方にお願いですが,感染源の特定とともにIPA(情報処理振興事業協会)に報告をお願いします.
※メールに添付されて送られてくるコンピュータウイルスで,実行すると画面に花火を打ち上げる.
一応,この組織のネットワーク環境について説明しておくと,UNIXワークステーションが主な機器であり,WindowsNTが少数ながら存在するが個人ユーザのアプリケーションソフトのインストールは認められていない.つまり,電子メールを受信するために情報コンセントに接続した個人所有のノートパソコンなどを利用しなければ,Happy99に感染しようがないのである.
XXX氏のミスは,3つある.
- 組織の管理下にある情報資源と個人所有の情報資源の混同
- 感染源の特定が容易であるとの誤解
- IPAへの報告についての無知
添付されてきた実行ファイルをユーザが実行しなければ感染しようがないのが,Happy99の特長である.そして,感染被害に遭えるのは個人所有のノートパソコンであって組織の管理下にある情報資源ではないため,ネットワーク管理者が何かできるようなものではない.さらに,一部の企業のように私用電話取締りよろしく私用メールをチェックするためにメールサーバのユーザデータを検査するような真似をする以外に,受信時点で感染の有無をチェックすることはできない.また,感染源の追跡は個人メールのヘッダを追わなければならないし,パケットの送信元を追求するのとは話が違う.IPAには被害報告をすることになっているが,別にネットワーク管理者である必要はない.しかも,この件では組織の管理下にある情報資源には被害はないので,XXX氏自身が報告しても良いのである.もしXXX氏が初級シスアドでありながらHappy99を実行するという不用心なことをして感染被害にあったのであれば...
このように,コンピュータウイルスを発見したら管理者に早急に知らせて,周囲に隠すこと無く被害拡大の防止に努めるというテキストそのままの行動をXXX氏はとってしまったのであるが,実際にはどうすれば良かっただろうか.
「何もしない」が一つの答えである.結局,不用心に得体の知れない添付されてきたファイルを実行するということが問題なのである.そして,ウイルス対策の基本としてワクチンソフトを常駐させ,パターンファイルの更新に注意していれば被害は防げるのである.この件に関しては,ユーザのコンピュータリテラシーの問題という外無い.XXX氏に期待はしないが,できることと言えば周囲のユーザのリテラシー向上のために伝道布教活動に精を出すくらいのことかも.
