「社内の人間は安全だ」という神話：会社に潜む情報セキュリティの落とし穴（1/2 ページ）

セキュリティ対策では、ウイルスや不正アクセスといった外部からの脅威に備える意識が高いが、脅威は社内にも存在する。「関係者なら大丈夫だ」という意識に落とし穴が存在することもある。

[萩原栄幸，ITmedia]

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。

過去の連載記事はこちらで読めます！

　最近、大手企業では清掃の回数が「作業の効率化」「無駄な間接費を極力減らす」という大義名分の下で減り、請け負う会社でも「仕事の邪魔にならないように」と、週末に実施する傾向が強まっているようです。当初は人海戦術で迅速にごみを回収していたものの、人件費を抑制するために人員を減らし、3人チームから2人チームに、ついには1人でフロア全体を清掃するという会社も少なくありません。その結果、とんでもない事を考える人が出てきました。

「社内なら安全」という油断

　ある建築設計事務所では、コンペティションで発表する予定だった設計図が盗まれる事件が起きました。幸いにもシステムが異常を検知して事なきを得ましたが、後で調べたところ、盗んだ人はそのビルの清掃人だったのです。毎週土曜日に誰もいないフロアで黙々と作業をしていたそうですが、ある日年配の女性のデスクにIDとパスワードを記したメモが貼りつけられていたことに気付いたそうです。本人は、そのIDとパスワードでシステムに不正アクセスし、重要だと思われるファイルをコピーしようとしました。

　社内の運用ルールでは、3カ月に一度パスワードを変更するようになっていました。変更しなければ、警告メッセージが社員に通知され、強制的にアクセスができないようにする対策が導入されていました。しかしその女性は、覚えるのが苦手だとしてデスクの端にメモを貼り付けていたのです。本人には「社内だから盗む人がいるはずがない」といった理由があり、周囲の人間もベテラン社員のこの女性に対して、注意できない状況だったそうです。

　わたしは地方の会社でセキュリティコンサルタントをしていますが、このような状況は頻繁に見られる光景でした。この脅威は、社内LANを構成で強固にガードしても、新入社員が自分の端末で設定変更してインターネットに勝手にアクセスできるようにし、会社に大きな損害を与えたという種の事件と同じ理屈なのです。むしろ、状況はもっと悪いと捉える必要があるかもしれません。

　「社内だから安全」という妄想は捨てるべきでしょう。時折、重要な機密文書ばかりではなく、社内文書を机の上に放置してトイレや会議に行く社員の姿が見受けられます。犯罪を多々目撃しているわたしの目には、これらの行為が極めて危険だと映ります。最近では、「席を離れる際は、書類は裏返しにする」や「必ず机の中に収納する」「必ず鍵を閉めて離席する」といったルールを社内で定めた会社も増えてきました。社内でも危険であり、万一の場合には本人が責任を負うようになりつつあります。

　なぜパスワードは、他人（上司を含めて）に教えてはいけないでしょうか。なぜ数カ月ごとに変更するのでしょうか。氏名や電話番号など類推できるものは禁止して、無意味でランダムな文字列（8文字以上で英字の大文字小文字や数字、特殊文字を混在させることが望ましい）にするべきなのでしょうか。情報セキュリティに対する油断のある人には、これらの基本が十分に理解されていないです。わたしは啓蒙活動をさらに活発に、そしてもっと真剣に行っていく必要があると考えています。