情報漏えいがありました 今後注意すべき点はどこですか？：萩原栄幸の情報セキュリティ相談室

情報セキュリティの専門家・萩原栄幸氏による連載は今回から新テーマ。企業や組織、個人にとって起こりがちな情報セキュリティのトラブルと対策を解説していきます。

[萩原栄幸，ITmedia]

　今回からはコンプライアンス、内部犯罪防止、サイバー攻撃などを含むネット犯罪、クラウド、ビッグデータ、スマホなど広義における「情報セキュリティ」について、企業や個人が遭遇するステージでの問題点と解決策を紹介していこう。

（編集部より：本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。）

事例

　私の会社では最近、情報漏えいがありました。会社の状況は次のようなものですが、一般的に今後注意すべきところはどこでしょうか？

会社名：A工業機器販売株式会社

　実態は、プレス機器で有名な「Bプレス機」の販売が全売上の6割を占める中堅の工業機器販売会社。取扱品目はおよそ800種。本社以外には関東を中心に8カ所の販売拠点がある。

事案：半年前に発生した情報漏えい

　ある拠点の営業課長が、得意先に新型プレスの解説書のPDFファイルとプレゼン用資料のPowerPointファイルなどを、USBメモリに入れて得意先の本社に持ち込んだ。説明の後、うっかりUSBメモリを得意先のPCに挿入したまま帰社してしまった。夕方に気がついたが、そのPCに挿入したUSBメモリが見つからない。その中には、今回の案件と関係が無い、神奈川県内の納入先一覧などの重要書類のExcelファイルあった。しかも、パスワードなどの防御策は全くしていなかった。

回答

　情報漏えい事案については、営業課長の行動から、次の点について確認すべきである。

1.USBメモリでの情報の持ち出しについて

　上場企業においては、そのほとんどで無条件にUSBメモリへの情報のコピーおよびその持ち出しについて、「禁止」している。もしくは、できない環境となっている。ところが、中堅企業の場合は業種にもよるが、まだまだ明示的に禁止していない企業があるのも事実だ。または、規則上（書面上だけ）の禁止となっているが、何の防御施策もなく、実質的に野放しの状況というところも少なくない。

　これについては指導以前の問題で、もし読者の企業においてこの状況であるなら、1日も早くきちんとした禁止体制を実現すべきである。規則でもシステム上でも（100％の監視は無理でも、中核のシステムくらいはツールを使って明示的に禁止にしなければならない）、そして、発覚した場合の罰則規定も含めて導入すべきである。

　中小企業経営者の一部は、「金がない、そもそもうちにそんな悪いことを実行する人間はいない」とおっしゃるが、「まぼろし」「空想」の世界であることを自覚させ、可及的早期に体制を強化しなければならない。

2.USBメモリの内容について

　これは上述の体制を実現している前提で許可されている場合となるが、いまや暗号化は必須である。暗号化の方法は問わない。何でも良いが、必ず暗号化すべきである。

3.客先での使用について

　課長は客先のPCに持参したUSBメモリを接続していた。これも、読者の意識ではびっくりするだろうが、実際の現場を20年以上見ていると、全く驚くようなことでは無い。昨年も、この手の「馬鹿な行為」をしていた管理者が2人（2社）いた。ここまでくると実は、「個人」の意識の問題ではない。企業自体として根本的に何かが欠落している可能性がある。その多くは、「セキュリティポリシー」もしくは「教育」そのものだ。

　筆者は、3月2日に経済産業省や総務省が後援となって、「遠隔操作ウイルスの誤認逮捕からみた今後の情報セキュリティ」という公開討論会を企画し、司会と座長を務めた。「今さらUSBメモリの問題なんて」という見方も分からなくもないが、これが日本の実体であるということも、一面では事実なのである。

　こういう地道なところから直さなければならない企業がまだ多数いる、ということをぜひご理解いただきたい。声を大にして言いたいこと、それは――サイバー攻撃とか、CSRF（クロスサイトリクエストフォージェリ）の脆弱性とかいう表舞台の内容も大事だが、もっと重要なのは、コンプライアンスの意識の低さではないか。人間がしっかりしたポリシーや意識を持たないのに、何がサイバー攻撃だ！――だ。そう思わずにはいられない。

4.USBメモリのその後

　そして意外と気が付きにくい点が、USBメモリの使用後は速やかに帰社し、「ツール」を使って「完全削除」を実施するという点である。課長は、まずUSBメモリの存在を確認し忘れた。夕方になって、気が付くというのはいかがなものかだろうか。しかし、コンプライアンスをおざなりにしている会社の管理者は、こういう意識であることが多い。たまたま事件にならなかった――そういう事例を筆者は山のように見ている。

　そして次の問題は、そのUSBメモリにはどう見ても以前の内容が残っており（神奈川県内納入一覧が残っていたことからも明らか）、毎回必ずツールを使っての「完全削除」を実行していなかったということになる。マニアックな方であれば、「USBメモリ内部の完全削除については疑問がある」と感じるかもしれないが、現実問題として、残存の可能性を限りなくゼロにするという意味での利用は大いに歓迎するものだ。

---

　ここまでが質問に直結した「一般的な回答」である。だが、実際はもっと考えなければいけない問題が多々あり、現実に作業を行っている筆者にとって直接的な回答は事実の1割にも届いていない。つまりは、これらは表面化した事象に過ぎず、実は真の原因や問題はもっと別なところにある場合が多いからだ。これに関してまた別途紹介していくとし、次は別の課題としたい。これをヒントに、読者の企業が少しでも警告を発して良くなれば喜ばしい限りである。

　最後にこういう企業の多くは、「人間」が問題であり、規則があっても守られていない場合が圧倒的に多い。そこで、こういう兆候があれば要注意という事例を幾つか挙げたい。

1.FAX機の上に3時間前に受信されたものを放置

　規則に「ある、ない」という問題以前に、気付いた人が対処すべき。コンプライアンス教育や最近増加している「倫理研修」でもお伝えしているレベルの問題。

2.本社は自社ビルだが、入館時のガードがない（出入り自由）

　これは企業の体質に起因する場合が多い。経営者やCIOが率先して対応策を考えないといけない分野かもしれない。

3.離席時のルール

　例え本人が1分だけ席を離れたと言い張ってもダメ。最低限、PCなら閉めて、紙の書類があれば机の中にしまってから離席するという行為が自然に出るようにならないといけない。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。