内部統制の厳しい会社が情報漏えい 技術のプロで見つからない原因萩原栄幸の情報セキュリティ相談室(2/3 ページ)

» 2013年06月21日 08時00分 公開
[萩原栄幸,ITmedia]

行き詰ったら「基本に戻れ」

 この調査委員会のメンバーは、中堅商社としてはある意味でもったいないほどに優秀な方ばかりだった。個別具体的な領域については、筆者よりも詳しい方がいたほどだ。当初は筆者の20年以上の経験を駆使すれば、「すぐに抜け穴が見つかるはず……」と気楽に考えていたが、調査委員会がこんなに優秀な方々で構成されているとは思いも寄らなかった。

 これほどの調査委員会がなぜ招集できたのか。その理由はすぐに分かった。A社ではペネトレーションテスト(システムなどへの侵入テスト)の新特許を取得した某フランス企業の代理店としても活動できるようにとペネトレーションテストの達人やサイバー攻撃の達人、ログ解析の達人、Web系の脆弱性攻撃の達人といったその道のプロを2年契約で採用した(半数はセキュリティ会社からの出向のようだ)ばかりで、彼らが調査委員会のメンバーを務めていたのだ。

 これでは筆者の出る幕もない。だが、調査委員会は原因を掴めなかった。委員会のメンバーは、確かにその道ではプロではあるが、実は組織内部に入り込んで多方面の可能性を考慮しながら犯人を探すということをした経験がない。原因を掴めない理由のヒントがここにありそうだと思っていたところで、あることにひらめいた。調査委員会のほとんどのメンバーは、インターネット社会にしか精通していないのではないかという点だ。よって、実際の犯行原因は、「ネット以外の世界」にあると思われた。

 A社は世界を相手にビジネスをしているだけに、紙文書の取り扱いなどもしっかりしている。内部統制もまたすばらしい状況だった。だからこそ企業の内外を問わず全方位で、ジグゾーパズルを組み立てるように1つ1つの点を丁寧に再調査するしかない。最も重要なのはそのパズルとパズルの間にあるもの――インタフェース、情報の流れ、物理的な流れ、ネットワークの流れ――であり、これを検証するしかないと感じた。

 実際の作業は大変だったが、その途中でふと気付いた。それは、A社が世界を股にかけて仕事をしている関係から、最新のPCを好む傾向にあるという事実だった。新規プロジェクトの立ち上げるごとに新型PCに買い替える社員がたくさんいる。会社も先行投資と考え、それを許容していたのであった。

 よって、社員数の割に多い数のPCが廃棄されている。PCは会社の規則に基づいて、PCを粉砕する専門業者に引き渡し、業者では自社の粉砕工場で回収した当日のうちに粉砕しているという。トレーサビリティの観点から、本来はPCの粉砕前と後の状況をその目で確認できれば望ましいが、現実的では無いとしてA社では業者にビデオで録画させ、その映像を確認していた。

 委託先の専門業者はその業界では有名で、役所も利用しているほど信頼される企業だ。問題無いと思ったが、念のため連絡してみると、その業者はとんでもない発言をした。

 「A社ですか……。たしか以前にご契約していたお客様ですね。しかし、半年前に契約を解除しており、今では作業を請け負っていませんよ。何かございましたか?」

 情報漏えいの原因はこれに違いない! 筆者はすぐにA社の総務部にも確認した。ところが、総務部のほとんどの社員が契約解除の事実を知らず、知っていたのは部長と廃棄PCの業務を担当している2階級下の主任、その部下の3人だけだった。まあ、その範囲の人間だけ知っていれば業務は回るだろう。

 筆者は、まず主任とその部下に「廃棄業者の変更をどうやって知りましたか?」と聞いた。2人は口をそろえて「部長です」と答えた。来月から業者を変更するので、来月から新しい会社に廃棄PCを引き渡すよう指示されたとのことで、「今まで通り、業者の車両が到着してから出発するまでを見ておくように」と言われたらしい。

 新しい業者からも以前と同じように、PCを粉砕しているビデオ映像が届いていた。主任とその部下は今まで「おかしい」と感じなかったようだ。ただ、新しい業者の担当者は日本語をうまく話せなかったので、外国人の従業員なのだろうという印象を持ったという。その新しい業者を調べてみると、経済産業省には登録されていない。インターネットで調べてみると、最近になって急速に売り上げを伸ばしている業者だと分かった。

 総務部長にも聞いたが、どうやら不正に関与している可能性はなさそうである。ただ経費節約のために、業者を勝手に変更したようだ。委託料が従来の3分の1になったというから、その誘惑は総務部長にとって捨て難いものだろう。業者を指定する権限は総務部長にあるので、「何の問題にもならないはずだ」と部長は話した。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ