壁に耳あり 急成長企業の情報漏えい騒動記：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

　調査の結果から、A社の内部では大きく「PC」「無線LAN」「PLC」の3つの部分で弱点が見つかった。

PC

　ネガティブ情報の探索作業で担当者は、PCとインターネットを使って、管理者から指定された作業を黙々と消化して、その結果を報告する。きちんと調査したかどうかは、インターネットのアクセス履歴やツールで簡単に分かるので、サボって嘘の申告をしても、バレてしまう。

　だが、PCでのセキュリティレベルはウイルス対策ソフトがインストールされているだけという状況だった。これなら例えば、学生のアルバイトが都合の良い時間帯、仮に午後10時から翌朝7時まで作業をしたとすると、その間にWebメールなどを使って作業内容や検索の詳細、ログやファイル、結果のデータを故意に社外へアップしてもまず分からない。

　管理者の関心事は、「担当者が仕事を消化しているか」というものであり、指定サイトにアクセスして掲示板の内容をチェックしたかという点だ。書き込み内容をチェックするために、別のWebサイトにアクセスしたというような細かい作業内容までは、量が多過ぎてとてもチェックなどできない。そこで、「作業をきちんと行っている」と報告している担当者については、ほぼノーチェックだった。

　往々にして会社が急成長すると、業務の管理体制がこういうちぐはぐな状況になっしまうケースは多い。これについては、情報漏えい防止ソフトを導入し、社内LANにおいて全てのPCを統一的に管理できるようにした。24時間稼働しているだけに、監視する社員や経営側に多少の負担にはなるが、現在の収益規模からすると大きな投資額ではなく、きちんと利益につなげるためだと説明して納得してもらった。

無線LAN

　これもお粗末な状況で、暗号化はされてはいたが、なんと「WEP」だったのだ。説明書を読みながら設定したとのことだった。読者の中にもご存知の方がいると思うが、今どきWEPの暗号は気休めにもならないほど極めて脆弱なものである。数年前、秋葉原で実験用にクラックツールを購入して試したが、実際にWEPがいかに脆弱であることかを確認している。

　今ではWEPよりも暗号強度が増したWPAやWPA2-PSKすら解析できてしまうフリーソフトが存在する。AESであればまだ安全な方だとも言われが、これらよりも強度の高い暗号方式がすぐに出てくる状況にはない。次善の策として、A社にはWPA2のAES方式の導入をお勧めした。だた、この方式をサポートしていない古いものだったため、買い替えてもらった。

　これまでの改善策を実施しても、まだ内部犯行の可能性を捨て切れない。そこで無線LANの暗号キーの管理についても徹底させることとし、経営者およびネットワーク系の運用責任者とその部下の2人の正社員だけが知る機密情報とした。