先生と生徒の会話形式で理解しよう

生徒

「先生、何十年も前に作られたCOBOLのシステムって、最新のサイバー攻撃を受けても大丈夫なんですか？」

先生

「実は、そこが今大きな課題になっているんです。昔は『外部と繋がっていないから安全』と言われていましたが、今はインターネットに繋がる機会が増え、古いシステム特有の弱点を狙われる危険があるんですよ。」

生徒

「レガシー資産にもセキュリティ対策が必要なんですね。具体的にどうやって守ればいいんでしょうか？」

先生

「大切なデータを守るための守備固めが必要です。その基本となる考え方と、具体的な対策方法を分かりやすく解説しましょう！」

1. レガシー資産のセキュリティリスクとは？

レガシー資産（レガシーシステム）とは、長年使い続けられてきた古いコンピュータやプログラムのことです。プログラミング未経験の方に例えると、「頑丈だけれど、鍵の種類が古くなってしまった金庫」のようなものです。

昔は、会社の建物の中にある専用のコンピュータだけで動かしていたので、泥棒（ハッカー）が入り込む隙間はありませんでした。しかし、最近では「スマートフォンから銀行残高を見たい」「外出先から在庫を確認したい」といった要望に応えるため、この古い金庫をインターネットという公道に繋げる必要が出てきました。

すると、昔の設計では想定していなかった脆弱性（ぜいじゃくせい）、つまり「防犯上の弱点」が見つかるようになったのです。

2. 知っておきたい重要用語：脆弱性（ぜいじゃくせい）

ITの世界でよく使われる脆弱性とは、プログラムの不具合や設計上のミスによって生まれた、セキュリティ上の「穴」のことです。悪意のある人は、この穴を突いてシステムに侵入したり、大切な情報を盗み出したりします。

特にCOBOLのような古いシステムでは、以下のようなリスクが指摘されています。

認証の甘さ： パスワードの桁数が短かったり、本人確認の仕組みが単純だったりすること。
古い通信プロトコル： データを送る際の暗号化が弱く、途中で内容を盗み見られてしまうこと。
サポート切れ： コンピュータの部品やOS（基本ソフト）が古くなり、修理や防犯アップデートができなくなること。

3. セキュリティ強化の基本アプローチ

古いCOBOLプログラムそのものをすべて書き換えるのは大変です。そこで、現代のセキュリティ対策では「多層防御（たそうぼうぎょ）」という考え方をとります。

① 境界線でのブロック（ファイアウォール）

インターネットと古いシステムの間に「関所（防火壁）」を設けます。怪しい通信はここでシャットアウトし、許可された人だけを通すようにします。

② 通信の暗号化（SSL/TLS）

データを送る際に、中身をぐちゃぐちゃに混ぜて「解読不能」にします。万が一、通信の内容を盗まれたとしても、犯人には中身が何であるか分からないようにする技術です。

③ 踏み台（中継サーバー）の設置

直接COBOLシステムを外に晒すのではなく、最新の防犯機能を備えた「受付用サーバー」を間に置きます。ここでしっかり本人確認を行ってから、安全な方法で後ろにある古いシステムへデータを繋ぎます。

4. 実際のCOBOLコードでのセキュリティ意識

プログラムを書く際も、少しの工夫で安全性を高めることができます。例えば、入力された文字が「想定通りの長さや種類か」をチェックすることは、攻撃を防ぐ第一歩です。


* 入力されたデータが不正に長くないかチェックする例
       IF IN-ID-LENGTH > 10 THEN
           DISPLAY "エラー：IDが長すぎます。"
           PERFORM ERROR-EXIT
       END-IF.

* 数字だけが入るべき場所に文字が入っていないか確認
       IF IN-PRICE NOT NUMERIC THEN
           DISPLAY "エラー：数字を入力してください。"
           PERFORM ERROR-EXIT
       END-IF.

このように、プログラムの入り口で「おかしなデータ」を追い出すことを入力値検証（バリデーション）と呼びます。パソコンを触ったことがない方でも、「玄関で怪しい人を通さないようにチェックする」のと同じだと考えれば分かりやすいでしょう。