プレイステーションネットワークと原発と

はじめに比較することをお詫びいたします。
しかし、理解されやすさと経営層がきちんと認識するためには唯一の方法なのが残念なことに現実です。

原発は安全神話と呼ばれるものがあり、かたやその危険性を人生かけて訴え続ける人が存在します。

コンピューターシステムもある種非常に似ていて安全で最新で鉄壁といい提供する人たちと、脆弱性に付いて研究し危険性の存在とその対策を常時語り続ける人がいます。

わたくしはどちらかといえば、原発の中で運用の責任に当たらされている方に近い立場にいることが多いので両方の話がとても良くわかります。

安全と言わなければサービスを使ってもらえるはずはないので、提供する段階で一般的な方法においては十二分に安全で安心して遊んでもらいたいというしかありません。経営層はあるいはそう信じ込んでいるか、あるいは、騙すくらい気にかけていないか、そもそも安全性などやむを得ないから金を賭けるだけで、できるだけ削減したいと考えているのがほとんど。口ではもちろんとても立派な理念を語られますが直接知っている多くの経営者に真摯に安全確保を再優先している人などお会いしたことがありません。

経営者が考えるのは他社と同レベルかやや緩いか厳しいか程度の安全性。
それ以上のことは内部から求められても予算を出さないばかりか、そうした提案のある事実さえ残すことは許されない。そして懸念が現実化すると、事前に分かっているのだから対処できるだろう、対処して当たり前程度にしか考えていない。
※技術部門や運営部門の責任者が長かったのですがいまは経営者の端くれになっています。

今回のプレイステーションネットワークの事件も脆弱性を突く攻撃が既にあり、対処出来ていなかった。その段階でサービスを止める、原発でいうなら運転停止して対策工事を行なっていれば問題は起きなかったはずですが、多くの原発が予備電源が必要とは認識したが必要な予備電源を入れるのは１～２年かかるとして最小限の電源車を投入しそのまま運営しているのとよく似ています。
問題が起きなければ、ほら見たことか騒ぐことはない。無駄なコストを掛けずに済んだと喜び、警告した技術者はお叱り受けたり評価を下げられ報酬に直結する。それを見て育つ部下の大半は、問題を認識できても見て見ぬふりするのが処世術と技術者とは思えない方向に成長していく。
それでも、一部の硬骨漢は問題を主張し対策も明示する。

事故が懸念通り起きると、その事実は伏され、取られる対策の多くは、事前に示された対策より数段下がる再発のおそれのあるもので終わってしまう。

プレイステーションネットワークでもコストと利便性から今のバランスが選ばれ、77000万人もが利用するほどの成長を果たせたのでしょう。
安全性を考えるなら一部のネットバンクが使うようなワンタイムパスワード発生装置を使い、データーベースにアクセスする部分はその都度認証を行い、一定以上の深さに侵入されないようシステムを多段階に分解しビジネスロジック層が破られてもDBへは直接アクセスできないようにするのは難しくはないものの、システムのレスポンスがかなり落ちてしまい楽しめないかもしれない。利用者を確保できにくくなるしハードウェア投資が数十％増えるから利益が減ってしまう。

自分が運営していた500万人弱が利用されるシステムでも安全性確保を願っても、サービス提供のパフォーマンスを出すことさえ難しく、とても安全性を向上させることになど予算も人員も咲かせてはくれないままでした。アタックの方法さえ知っていれば実にあっさりとデーターベースの内容を持ち出せる。まあ、唯一の救いは利用者が多いがためにデーターベースが巨大すぎて転送する段階で発見し容易にシャットアウトできるだけ。会社的には認めてくれなかったものの運営責任者として自前の運用監視ツールをそのくらいのことができるようにはいち早く改善し監視体制も整えました。
最も運用メンバーが総入れ替えしているので、いまではアラートが出ても意味を理解できないでしょう（マニュアルなどは残して役員に説明もしてあります）。

プレイステーションネットワークの問題で言われていなくて、実は最もありえないのは、7,700万人分ものデーターが盗めたことです。ディザスタリカバリーまでいかなくてもバックアップを考えたことがある人ならば、これだけのデーターを転送するのが容易か大変かはわかるはず。

たとえるなら、普段普通乗用車しか走らない普通の二車線の道を8トントラックが行列をなして走り続けるような状態が長時間続きますから、トラフィックを見ているだけで容易に異常に気づけます。ただしそういう観点でトラフィックを見られるITスキルを持っている人が監視や運用を行なっていれば。
多くはコスト的な問題から素人同然の人が監視コンソールの前につき、教わった数値だけを気にしていてデーターの変動そのものの意味するところは理解出来ないので目の前の数値やグラフが明らかに異常でも異常と理解出来ない。
交通信号を知らない人が、青から赤にランプが変わっても、ああ、色が変わったなとしか運が良くても感じないだけで、異常とか、ましてそれが危険を意味するとはわからない。

7,700万人分のメールアドレスや氏名などのデーターを加工せずそのまま抽出したならば、データーベースのリソース消費が跳ね上がりトラフィックも異常に大量データーの長時間通信が観測されたはずです。
おそらく現在行われている対策も、侵入された手口に対応するとか既知の脆弱性だが放置していたもののいくつかを対策するばかりで、データーを盗めばトラフィックが一定量異常に増えるといった単純で隠しようがない部分を監視したりそれを理解できるまともな技術者をおこうとは考えていないでしょう。また、そうした技術者は残念ながら世界的に実に少ない。技術者にとってはつまらなすぎる作業でありもっとわくわくするような、自分の能力を試せるようなことをしたい。運用監視のような地味で報われない仕事を進んで行なってくれる一流の技術と経験を積んだ技術者は得難く、またそれにふさわしい報酬体系になっていないので、現実的に人を見つけ出せてもやってはもらえない。

原発事故でも、自分の経歴と人生を犠牲にできれば、たった独りがベントを開くとか海水注入すると決断して実行していれば、未然に止められた可能性があったのですが、そういう人物を置けない上に、それだけの決済権も与えない。ほんとうに安全を考えるなら経営者に判断できるレベルのものではなくて、というより、サービスの運営や利益を判断に組み込んでしまう人であれば、ふさわしい結論は出せないもので、安全性と継続性にだけ責任をもつ技術者に委ねない限り、電源車をいくら増設しても、堤防をどれほど高くしても、免震構造を取り入れても本質的な安全性は確保できないのもよく似ています。


事故の栄養の大きさでいえば、7,700万人が直接サービスを使えなくなり個人情報が漏洩してしまったプレイステーションネットワークのほうが重大かもしれません。東電のように国が救済してくれたりもしないのでその会社だけで負担し続けなければなりません。


経営者の皆さんへ
営々と運営は分離しましょう
運営の最終責任と裁量権は、運営能力を持つ技術者に委ねましょう

経営が行うべきは、仮にサービスが安全のため停止されても影響を最小限にできるメニュー体系にしたり事前広報する部分であって、できない24/7稼働前提のものは経営ではなく、運任せの博打です。