弁護士事務所から流出した顧客情報、調査の突破口はどこにある?萩原栄幸の情報セキュリティ相談室(2/4 ページ)

» 2013年07月05日 08時00分 公開
[萩原栄幸,ITmedia]

 浮上した事実とは以下の2点である。

  1. B社から貸与された「代理店の購入情報」を細かく分析すると、確かに情報の流出元はA社であると断言できる
  2. 漏えいした資料や周囲の状況を鑑みて、情報が漏えいしたのは6月16日夕方〜20日であると分かった。A社では6月20日にB社と4時間にも及ぶ会議が行われたが、漏えいした情報の中にその結果が見つからなかった。漏えいした情報にある「備忘録」の日付は6月16日で終わっていた。

 いったい漏えいした情報は、どこにあったのだろうか。しかも、6月16〜20日という期間である。これを調査するのは難儀であった。

 この調査の数カ月前のこと、中間報告書を作成するために事務所の半数が作業に追われており、アクセスコントロールが部分的に機能しない状況にあったことが関係者へのヒアリングで分かった。

 簡単にいうと、少なくとも数人の弁護士が「ボス弁(事務所の経営者)」のパスワードを知っており、分析の結果から深夜作業で多数のアクセスコントロール違反が見つかったのである。「弁護士がこんなことをして……」と思いたくもなるが、彼らにとって仕事の遅延は許されないだけに、無理矢理そうしていたらしい。「イソ弁(居候の弁護士)」の一人は、事務員にもボス弁のパスワードを教えていた。

 ここまでは状況証拠というレベルなので、詳しく証跡をたどるには、やはりシステム上のログを分析するしかない。そして分析を開始したが、「手掛かり」が見つからない。技術者の一人はタイムカードとログの突き合せも行っていたが、異常が見つからない日々が続いていた。

 調査開始から1カ月が経過し、筆者は一度、全員とブレーンストーミングしてみて、その結果をKJ法でまとめてみようと提案した。このまま続けても、気力が低下するだけだと思ったからだ。週末の土曜日に、外部とのコンタクトを遮断(緊急時はメモで連絡)し、模造紙を何十枚も用意して、その作業過程をデジカメで記録していった。

 取りあえず、その時までに分かった事実を整理した。「〜と思う」「と想定される」という観念から脱却し、事実だけを淡々と箇条書きしていく。それらを時系列に整理し、考えられる全ての「漏えい要因」をその事象ごとに記載する。要因と事実に相関を付け、「なし」「弱い因果関係あり」「因果関係あり「強い因果関係あり」というように分類、計数化していった。これだけでも朝から夕方まで掛かった。

 そこからA2サイズの段ボール用紙を裁断したカードに、1つ1つ書き連ねていった。すると午後5時頃に、急に事務所のドアが開けられたのである。そこには清掃員がいた。

 清掃員は驚いた様子で、筆者らに「事務所の方ですよね。ビルの管理人に休日出勤の申請は出されていないようですね。それは別にいいのですが、これから清掃してもよろしいですか」と聞いてきた。

 筆者は、この状態で掃除が始まれば作業に集中できなくなると考え、「今日はご遠慮してほしいのですが、問題はありますか」と尋ねた。すると、清掃人は「私も先月から急に担当することになったのでよく分かりませんが、別の日に代替されると費用がかかります」という。そこで、今週だけは清掃をやめてもらうことにした。

 そのやり取りがヒントになったのだ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ