オルタナティブ・ブログ > 情報インフラ24時 眠らないシステム >
RSS
情報インフラ24時 眠らないシステム

「仮想化」をキーワードに情報インフラの世界を考察します。

「中国政府による米国政府機関へのサイバーテロ」にみるコスト至上主義の危うさ

»

米国政府機関に大量納入されていた中国製激安ルータ(Cisco製品)によって、ネットワーク障害や火災事故が多発していたことが、 FBIによる捜査資料から明らかになっています。

→テクノバーン「中国製のシスコ製品のニセモノが米政府機関で多数発見、 FBIが本格捜査に着手」
『中国製と見られるシスコ製品のニセモノが米空軍、米海兵隊、米連邦航空局(FAA)、米連邦捜査局(FBI) などの米連邦政府機関向けに大量に販売され、 ネットワーク障害や火災などの事故が多数起こっていたことが21日までにFBIが情報公開を行った捜査資料によって明らかとなった。

 FBIによると米政府部内で確認されたシスコ製品のニセモノとはCisco 1721「アクセスルーター」などを始めとする製品。 Cisco 1721はVPN対応のルーターとして政府機関や大企業などで広く利用されている製品の一つとなる。』
http://www.technobahn.com/news/2008/200804230005.html


→「FBI Fears Chinese Hackers Have Back Door Into US Government & Military」
http://www.abovetopsecret.com/forum/thread350381/pg1

※パワーポイントファイルを公開DLしているサイトがありますが、公式にFBIが配布している資料ではないため、 各人の責任で閲覧下さるようお願い致します。
ttp://www.donkeyonawaffle.org/OMB%20briefing%02008%2001%2011%20a.ppt

このニュースで衝撃的だったのは、これらを仕掛けた犯人が中国政府だったのではないかということをハッキリと述べている点です。 FBI資料では「Critical Infrastructure Threat」とまで述べられているほどです。

仔細については、武田さんのブログにも紹介されていますが、 シスコ社は製品の直販を行っていないために代理店を経由する製品調達ルートが複数存在しており、 その一部で不正な製品が混入したようだとFBIは判断しています。

ネット上ではすでに様々なところで議論がされていますが、私が気になったのは、この事件の裏側にある「コスト至上主義」の危うさです。

 

そもそも、どうしてこのような怪しい製品が大量に米国の政府機関に納入されたのかと言えば、 常識の範疇を超える大幅なディスカウントがされていたという点に尽きるでしょう。

記事にもある通り、通常、14万円を標準価格とするルータが2万円強で販売されていたとのこと。なんと80%を超える超大幅割引です。 ネットワーク製品はサーバやストレージに加えて値引率が大きい傾向にあるとは思いますが、それでもこのディスカウント率は異常です。 中古品でもこれより高い金額のものはいくらでもあります。

外見も中身の基盤も本物のシスコ製品と見分けが付かない精巧さのため、 購買担当者や製品納入業者は本物のシスコ製品だと信じて疑わなかったに違いありません。

製品納入のコンペでは、各業者の様々な要素が比較されますが、一番判断しやすいのは”製品価格”です。 ここで他社と圧倒的な差をつけることができれば、コンペでの勝利は決定的となります。

価格が決定的な要素となるのは、企業や各種機関のIT部門が常にコスト削減のプレッシャーに晒されているからです。 多くの企業にとって、IT部門は利益を生み出すプロフィットセンターではなく、 原価を抑えることがミッションのコストセンターと認識されており、IT費用をどれだけ削減できたかによって、IT部門の評価は変わります。

必然的に、IT部門は「どうやったら極限まで費用を減らすことができるのか」というコスト至上主義に陥ってしまうのです。

 

ですが、昨今、コスト至上主義による様々な弊害が明らかになってきました。

効率化をやり過ぎると、IT部門にはあらゆる面での”余裕・のりしろ”が失われてしまい、 ちょっとした障害やトラブルによって部門全体が疲弊しやすくなってしまいました。

「やることは以前とあまり変わらないのに人員だけは減った」

そのような苦い思いをしている方はかなり多いと思いますが、それは、 定常運用の負荷だけを考慮して最低限のリソースだけを残すようなアプローチがなされているからです。これでは、 不測の事態が続いてしまった場合、現場が持ちません。

本件の製品選定についても同じです。実績の無い取引先ルートから購入するのであれば、まずは小規模の導入に抑え、 そこで一定期間様子を見たうえで、取引量を拡大するべきでしょう。

導入コストの低減をあまりにも突き進めてしまったために、納入製品の信頼性を確認することが行われていなかったことが、 ここまで事態を深刻にしてしまった真の原因ではないか、そう私は思っています。

中 寛之 2008/04/28 08:43:56 Comment(0)