社内ネットカフェでの“幽霊”事件――不特定の人物が使う落とし穴：不正事件に学ぶ社内セキュリティの強化策（3/3 ページ）

[萩原栄幸，ITmedia]

責任をどう問うべきか

　後日わたしはX氏と直接合うことになりましたが、X氏は自らの行為を素直に認めて謝罪しました。そして、「今後も会社に尽くしてこの件に報いたい。もし公になれば辞任せざるを得ず、会社に尽くせなくなる。これはわたしにとってつらいことであり、秘密にしてほしいのが正直な気持ちだが、公表するかは2人（店長と筆者）に任せる」と話しました。

　この事件では、わたしは不正な利用をしていた人物を割り出したにすぎません。実際にその人物が会社にとって欠かすことのできない立場であったため、わたしも店長の判断に従い、当時はこの事件を一切外部へ明らかにしないと決めました。

　X氏は社長と相談し、6カ月の役員報酬の3割削減という処分を自ら決めました。表向きの理由は、経理上の過失から会社に損害を与えたということにしました。もし事実をそのまま明らかにすれば、X氏の降格処分や辞任となっても不思議ではありません。しかし、X氏が会社から去れば極めて大きな損害に直結することは誰の目から見ても明らかでした。

　今回取り上げた事件は、社内で共有している施設や設備で不正行為をした人物が、その企業を左右しかねない重要な人物だったという点で特徴的かも知れません。このようなケースでは、どのような対応が求められるのでしょうか。

不特定多数が利用するPCでの履歴管理の徹底

　社内の不特定多数の人が利用するPCでは、最低限として誰がログインとログアウトをしたのかや、インターネットの履歴などの情報が利用者に削除されないようにすべきでしょう。管理者権限を使用させず、専用ソフトを使って操作ログを採取、分析するなどの仕組みも構築すべきです。

施錠を強化する

　施設への出入口には、解錠や施錠を記録するテンキータイプの鍵や指紋認証型の鍵管理に変更することが望ましいでしょう。また、清掃などを外部に委託している場合は、例えば施設内は社員が自ら清掃する、時間を決めて社員が立ち会うといった対応が必要です。

　鍵の管理区分を適切に設定しておくことも重要です。例えば、鍵そのものが入口に置かれたり、「施錠管理区域」といいつつも利便性を優先して、日中なら誰でもが出入りできたりするような会社が見受けられます。これでは施錠の意味がありません。

---

　情報セキュリティを確保するためにはルールを厳守していくことが不可欠ですが、万が一の事態が起きた場合、その対応は極めて慎重に考えなければなりません。この事件の場合、取締役のX氏が真摯（しんし）に反省していても、処罰を厳しくして会社を去らざるを得ない状況にしてしまえば、経営にとって極めて大きな打撃どころか、Ｘ氏の業績からすれば会社が倒産に追い込まれても何ら不思議ではない状況でした。

　仮に、今回の事件でX氏の行動が私利私欲（経理の不正など）のような利益を得るためのものであれば、わたしたちは会社に対して「厳格な対応を望みます。本件は公開して刑事事件としても民事事件としても毅然とした方針で処分しますということを世間に訴えて頂きたい」とお伝えしていたでしょう。わたしは警察ではありませんが、当然ながら法を厳守すべき立場にある警察官や裁判官であれば、絶対に許されないということは自明の理です。法の番人が両親や友人だったとしても、例外は許されないのです。

　一般企業の管理者にとっては、「情に流されることなく大局を見つめて最後は“心”で判断する」という難しい対応を迫られるかもしれません。悩み多き中間管理職の方々、がんばってください！

萩原栄幸

株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

セキュリティニュース一覧はこちら