パスワード解読と不正アクセスした研究員の事情：不正事件に学ぶ社内セキュリティの強化策（3/3 ページ）

[萩原栄幸，ITmedia]

不正行為リスクへの対策

　K氏は性格が内向的で、人との調和を苦手にしていました。ここ数年は斬新なアイデアを出せない焦りと、次々に「上席研究員」に昇格していく同僚へのねたみが加わって、今回の行為を働いたようです。データベースは偶然にたどり着いてしまったといい、本来の動機は同僚の成績や自分の評価が知りたかったと後に告白しています。アンダーグラウンドのツールは昔から趣味としており、専門家に匹敵するほど詳しかったようでした。

　会社が検討した結果、実際に情報が外部に漏れた形跡はなかったのですが、K氏の責任の大きさを考慮して「依願退職」にしました。また、IDを盗まれた同僚にもまったく責任が無いとは言えず、反省するように上司から注意を受けました。

　この手の行為を100％阻止することは不可能ですが、限りなく少なくしていくことはできます。企業で実施していただきたい対策をご紹介しましょう。事件のあったこの会社でも幾つかの対応策は実施していました。

1. 「全従業員に同意書を書かせる」→これを実施しているとプライバシーに関する悩ましい問題の幾つかを事前に回避できます
2. 「内部通報制度の導入」→内部通報制度を強制的に設置する必要はありませんが、この会社では経営者の判断で導入していました。中小企業でもこの制度を導入して改善に役立てているところもあり、検討してほしい対策です
3. 「アクセス許可者も登録制にする」→IDの許可閲覧者といって24時間使用できるのは過剰サービスに近いもの。定期的に事前申請させ、例えば平日0〜5時は「利用しない」という設定にしておけば、仮に情報漏えいが深夜2時に発生しても警告が通知され、迅速に対応できるのです。この事件もこの仕組みから判明しました
4. 「ファイルのアクセスレベルを決めて管理する」→ファイルやデータベースへのアクセス権限のレベルを決めておくことは極めて重要。すべてアクセスコントロールされているという認識を全従業員に持たせることが大切です

　この会社では事件をきっかけに、以下の対策も導入を検討することになりました。

• OA端末の「admin権限」でプログラムを実行させる場合の監視
• エージェントソフトによる登録外ソフトの実行の監視
• パスワード入力時における啓蒙活動の徹底（他人がいるところでパスワードを入力することも禁止した）
• 夜間のデータベース閲覧における管理の徹底と異常時における迅速な対応の強化
• 従業員と密接したメンタルケアの実施→精神的な問題を抱えている人の早期発見と対応が従業員にとっても会社にとっても極めて良い結果につながります

　さて、読者の環境でもこうしたリスクへの対策は大丈夫でしょうか。ぜひ一度は検討してみることをお勧めします。

萩原栄幸

株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら