こんばんは。昨日の続きになります。昨日の記事はこちらになります。

karasuma-kitaoji.hatenablog.com

　昨日は概略のみでしたが、今日はツッコミを入れて行くことにします。ツッコミを入れるポイントとして、以下の点を挙げてみます。

1. どのようなシステムを導入したかったのかが不明確だった？
2. セキュリティとは何かを理解してなかった？
3. 基本的にSIer丸投げというスタンスではなかったのか？
4. ユーザーに対してヒアリングしたのか？

　などを想定してます。

　1.ですが、「日本年金機構で情報漏洩が発生したので、こういうことが起きないような仕組みを作りたい」ということが念頭にあったとあります。

　「こうしたい」という明確な絵があったわけではなく、後ろ向きな理由によるものだったことも問題だったのではないでしょうか。「何かやったポーズを取りたい」というようなことはなかったのでしょうか。

　2.は深刻ではないでしょうか。他の方も仰ってましたが、「セキュリティは完全性・可用性・機密性である」という点です。今回のケースは見事なまでに機密性に振り切ってましたから、まともに使えない代物が出来上がってしまいました。「泥棒に入られないように出入口を全部塞いでみました」的な感じがあります。可用性無視ではどうしようもないですね。省内でセキュリティの定義を理解している職員がいなかったのではないか？と思える事態です。

　3.なのですが、事務処理や政策の立案は出来ても、システムに詳しい職員がいなかったorいても関われない・権限がないというところではないかと推測します。

　結局はSIer頼みで提案を受けるしかなかったのではないでしょうか。SIerに要望を伝えるにしても、「情報漏洩の起きないシステムを」ぐらいにしか伝えられなかったというオチではないかと邪推しています。

　4.も深刻なのではないでしょうか。「ただ機密性だけ異常に高めたシステム」を導入することありきになっていて、業務の効率化を図り、ユーザーへの負担を軽減出来るように要望をきちんと吸い上げるべきではなかったでしょうか。ユーザーが求めている代物ではなかったので、誰も使わないのは当然でしょうね。しかも、それで利用料を取っているのも余計に遠ざけているようでもあります。

　「18億円をどぶに捨てた」という言い方をされますが、その前に「18億円の使い方が分からなかった」のではないかという点を危惧してます。