LAN上のメールをすべて収集していた社員：不正事件に学ぶ社内セキュリティの強化策（2/2 ページ）

[萩原栄幸，ITmedia]

人事部が考えた方法とは？

　人事部では麗子さんの行動をネットワーク上から観察した結果、確かにメールを盗み見していることが分かり、外部の専門家に依頼して、まずは「証拠固め」をすることにしました。操作ログを解析すると既に1年ほど前からこの行為をしていた事実が明らかになり、情報漏えいの疑いもありました。そこで、会社としては麗子さんがどこまでの情報を探っているのかをログだけではなく、まずは観察して確認することを優先しました。

　本来、不正が疑われるこのような行為では、被疑者を「泳がせる」方式はあまりお勧めできません。ただし証拠が不十分な場合では、万一裁判になった場合に有利に主張する材料を得るために材料を得るために経過観察をする場合があります。このケースでは、会社は深夜に麗子さんのPCフォレンジック調査（科学的な捜査）を実施し、以下の点を確認しました。

1. なぜこのような行為（メールの盗み見）ができたのか？
2. 現時点でどのくらいの情報を盗み見もしくはコピーしたのか？
3. ファイルなどの情報を外部に持ち出した形跡はないか？
4. もし持ち出した場合は、どのようなファイルをどのくらい、どのような方法で外部に漏えいさせたのか？
5. いつから実行し、どのような間隔で実施したのか？

調査の結果……

　麗子さんと課長の不倫関係は3年ほど前から続いていましたが、課長あてのメールの盗み見は別れ話が出た直後（つまり1年ほど前）からということが調査で分かりました。しかし、外部への持ち出しやその証拠も発見されず、会社としては情報漏えいという最悪のケースではないことが確認されて安心したようです。

　彼女はシステムエンジニアだったことからもPCの知識が豊富で、個人的な興味でさまざまなアンダーグラウンドで出回っているツールも自宅で試していたようです。その中に会社のLAN上でやりとりされるメールをすべて自分あてにも指定できるソフトを使い、課長あてのメールを盗み見していたということでした。

　また余談ですが、会社のPCは不要なソフトをインストールできない仕組みになっていました。しかし、彼女は情報システム部出身ということもあって、経理部のOA管理者としてLAN関連の簡単な作業にも応じていたのです。つまり管理者権限であったため、密かにこのソフトをインストールできるようにホワイトリストに登録し、システムにチェックされないようにしていた事実も判明しました。

処遇はいかに……

　調査後、彼女は依願退職という形で会社を去りました。本来の行為としては懲戒免職にも相当するものですが、動機が動機だっただけに、会社もなるべく穏便にしたいという考えがあったかもしれません。課長もそれなりの処分を受けることになりました。ただし、「訓告処分」というちょっと考えられないほど「軽い」処分でした。

　もちろん、その後は麗子さんの弁護士を通じて麗子さんへの慰謝料請求があるなど、課長には厳しい「お仕置き」が待っていたのは言うまでもありません。数年前の事件である事を考慮するなら、当時としてはやむを得ずというところでしょうか……。

　このような事件はどうすれば防げたのでしょうか。本記事は「男女の関係」にまで踏み込むものではないので、あくまで論理的に重要な方法を考えてみたいと思います。概ねの内容は次の通りで、このケースでも、以下の中からできるものを順次導入していきました。

• 会社のPCに許可されないソフトのインストールを禁止する社内規定を、LAN単位で運用するのでなく、全社規模で厳格に運用する
• それを有効にさせるために、自己申告や内部でのクロスチェック、検査部による強制検査、外部専門家による抜き打ちチェックなどを実施する
• 不正ソフトを巡回監視するためのエージェントソフトや、専用の情報漏えい防止ツールを導入する
• インターネットでのダウンロードを監視する
• スパイウェア検知ソフトを導入する
• OA管理者などは最長でも1年として、毎年必ず別の人間を管理者として作業する。またその仕組みを機能させるための社内OA管理者教育をさらに充実したものとして活動する
• 社内通報制度を設け、どんな内容でも相談できるように外部の専属の弁護士にも相談できる仕組みにする

---

　わたしが事件を通じてこの会社に感じたことは、「家族で付き合いができる会社」という雰囲気を経営側が強く求めていました。そのこと自体は素晴らしいもので、わたしもぜひそういう会社にしたいと願っています。しかし、往々にしてその狙いは少しでも外れてしまうと、「公私の切り分けができない」「社長のワンマン経営」という会社になるリスクが高まります。このケースではそこまでには至っていなのですが、やはり雰囲気として強く感じたものでした。

　どこで公私の線を引くべきか難しいものですが、どこかで引かなければ会社の存続すら危ぶまれる結果なることも想定されます。経営側にはぜひこのような可能性にも注意していただきたいと思います。

　また、企業ができるきめ細かな対応の1つとして提案したいのが、社員への「メンタルケア」です。会社としては多忙な社員に、「そこまで実施させるのは非現実的だ」というケースもありますが、積極的に関与していただきたいと思います。社員のメンタルな部分にまで深く関与することで、相当な数の内部不正を減少できたという事例もあります。この辺りの内容はまた別の機会にご紹介しましょう。

萩原栄幸

株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら