2013年のセキュリティ事件簿・誤送信やWebサイト改ざんに学ぶ：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

情報セキュリティに関する事件は今年も多発し、収まる気配は感じられない。2013年に発生した事件を参考に、どうすればセキュリティを高めていけるかについて考えていく。今回は「誤送信」や「Webサイトの改ざん」がテーマだ。。

[萩原栄幸，ITmedia]

　師走の12月に入ったので、今月はこの1年間に起こった「情報セキュリティ」に関する事件について、基本的な事象からやっかいな事象までを振り返ってみたい。それぞれの事件の解説から「何か」を感じ取っていただけると幸いだ。

FAXの誤送信や案内状の確認もれ

　お正月気分でいた1月7日、8日に立て続けで事件が発生した。

• 相手先を誤って、顧客情報430件をFAXで送信してしまった（某通信会社）
• 案内状を添付して送信する際に、顧客情報233人分を誤って添付し、送信してしまった（某機器販売会社）

　こうしたミスを筆者も何度か経験している。記事ではほとんど触れていないが、実際にこれらが発生すると、とてもやっかいなことになる。たった1件のFAXのための先方にまで出向いて謝罪し、送付したFAXの資料を返却してもらう。時にはあからさまに金銭を要求する人もいて、お詫びの品で何とか同意してくれるように交渉するという地道な作業だ。

　「お客様サービス室」などに勤務されている方は、実に我慢強いと思う。年配の女性ですら、平気で金銭を要求する人もいる。それが「違法行為」であり、逆に「あなたにとってまずい結果になりますよ」と交渉できる度胸は、筆者には無い。

　書類の案内状に関する事件も、筆者の身近なところで起きた。ある保険の年間契約を延長するための継続資料が筆者のもとに届いたのだが、その「案内状」には筆者個人の契約内容が記載されていた。継続するか、変更するか、解約するかによって、保険会社に送る資料が違うので、かなりの厚さがあった。ところが後ろのページに、恐らく筆者の次の方に送付するはずだった保険契約の控えが、そのままクリップで綴じられていたのである。嘘の様な本当の話だ。

　書類は4枚の複写だが、うっかり5枚を同封したに違いない。通常、こういう事が起きると担当者は大騒ぎして社内で捜索し、見つからなければ筆者に送った書類に同封したに違いないと思って問い合わせるだろう。不思議なことに、そういう問い合せの電話すらなかった。

　そこで、その保険会社に勤めている友人に聞いてみた。何でも書類はすぐに再印刷できるという。規則では申告しなければならないが、その人は「破いた」などの理由で再印刷し、ミスを放置したのだろうということだった。筆者も追及するほど暇ではなく、そのままシュレッダーに入れた。

　これは、一歩間違えると危険であり、変な方向に話が進んでしまうリスクが高い。担当者を責める前に、まずはセキュリティ対策として、そういうリスクを無くす事務フローを構築し、それと合わせて、隠されてしまうミスを捕捉できる仕組みをシステム的に考えなければならない。

　「ハインリッヒの法則（1つの大きな事故の背景には29の小さなミスと、300の不注意があるというもの）は、製造現場以外に、セキュリティの世界にも見事に当てはまる。よって、この小さな（決して小さいとは思えないが）不注意をきちんと検証し、防止対策を策定しないと、いずれは確率の問題で極めて深刻な状況になるはずだ。心当たりのある方は隠すのではなく公表し、せひ「皆で改善策を考え、実践する」方向に取り組んでいただきたい。

　また、このようなミスを隠そうとする人が後を絶たないことにも危機感を覚える。中には「些細なこと」と思う方もいるだろうが、本当に「些細なこと」なのだろうか。今の世の中は、どうにも理解できないことが多過ぎて、残念に思う。

　インターネットでのメールFAXの送信ミスについては、今では送信ボタンを押してから実際に送信されるまで、5分とか10分のインターバルを設けておき、その間に簡単に取り消すことができるソフトなどが販売されている。「5分では意味が無いのでは？」といぶかる方も多いが、筆者も実際にの経験し、そのほとんどは2分以内に気が付いた。この事実からも、ソフトの活用には効果があると考えている。