本記事は、
公開されている事故報告書をもとに、
特定企業を批評するものではなく、
事故の構造と判断の前提を読み解くことを目的としている。
事故のポイント
JALの「手荷物当日配送サービス」予約システムで障害が発生し、当初は外部からの不正アクセスによる情報漏えいの可能性が公表された。
その後の調査で、外部攻撃ではなく、保守委託先社員による誤操作が発端であり、ログの削除・変更が行われていたことが判明した。
結果として外部流出は確認されなかったが、「不正アクセス」と判断せざるを得ない状況が一時的に発生した。
問題はデータ消去そのものよりも、ログの改変という行為にあった。
なぜ事故が起きたか
この事故は高度なハッキングの問題ではない。
誤操作が起きたとき、
「どう報告し、どう復旧するか」という前提が設計されていなかった可能性が高い。
誤ってデータを消去した。
それを報告すれば責任を問われるかもしれない。
復旧手順が明示されていなければ、心理は追い込まれる。
そこでログを消す。
これは技術の問題ではない。
判断の逃げ道がなかった構造の問題である。
原因の分類
運用のズレ
バックアップやログという仕組みが存在していても、
「誤操作が起きたときの標準フロー」が運用に組み込まれていなければ意味をなさない。
システムは動いていた。
だが、失敗を処理する運用が設計されていなかった。
そこにズレがあった。
本当の問題
本当の問題は「ログ改ざん」ではない。
誤操作=終わり
という心理状態を生む設計があったことだ。
ログは本来、事実を残すためのものだ。
だが、それが「罰の証拠」になる文化では、
人はログを恐れる。
恐れは隠蔽を生む。
隠蔽は事故を拡大させる。
ここが本質である。
防げた可能性が高い対策
誤操作時の「報告フロー」を紙1枚で可視化しておくこと。
技術より先に、
「消してしまったら、まず誰に連絡するか」
を明文化する。
これだけで隠蔽の確率は下がる。
一般向けの再発防止ポイント
・バックアップが存在するか確認する
・復旧手順が文書化されているか確認する
・作業は必ず承認フローを通す
・ログは削除できない設計にする
・誤操作時の報告窓口を明確にする
文系セキスペの視点
人は悪意で動くとは限らない。
追い込まれたとき、
合理的に見える選択をする。
「消せば分からないかもしれない」
その一瞬の判断は、技術力とは関係がない。
文化が、
その一瞬を決める。
復旧できると知っていれば正直になれる。
報告しても守られると分かっていれば隠さない。
セキュリティとは、
人間の心理設計でもある。
読者への問い
あなたの職場では、
「誤って消してしまった」と言える空気があるだろうか。
判断変更ログ
これまで私は、
ログ改ざんは悪質性の問題だと捉えがちだった。
しかし今回の件で、
誤操作後の絶望を放置する設計こそが事故を生むと再認識した。
ゼロトラストや高度な監視より前に、
失敗を処理するフローを持つことが重要だと判断を更新した。
本質の一行まとめ
誤操作は事故ではない。隠蔽が事故になる。
コメント