機密情報DBに不正アクセスの疑い、お金をかけずにどう対処すべきですか？：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

新規ビジネスを立ち上げようとしている最中に浮上した、不正アクセスと情報漏えいの事案を解説しよう。

[萩原栄幸，ITmedia]

　今回は近畿地方のある製造業からの依頼である。以前に、コンプライアンス教育で役員セミナーを行った企業だ。

　サーバ管理者から社長に通報が届いた。まだ不確実ながら、社内の機密情報データベースになりすましによるアクセスがあった模様だ。二人は相談のうえ、以前に情報セキュリティのセミナーを依頼した筆者に緊急依頼したようだ。

（編集部より：本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。）

事例

　この企業は、陶器やガラス製品などの製造と一部販売を行っている中小企業である。本社と工場が隣接し、30人ほどの従業員のほかにパートやアルバイトなどが力作業を賄っている。その他の拠点は1カ所だけだが、駅前商店街にアンテナショップという位置付けというほどでもないが、小売りをしている。当然ながら、販売しているものは全て自社工場で生産された陶器やガラス製品である。

会社名：W工業株式会社

　量産品が多いが、薄利多売になるのを少しでも減らすために、一部試行で一品モノを生産、販売している。できるなら地場の名産品に登録できる「職人技」のブランドを立ち上げようと、必死になって社長自身が職人として日夜技を磨いている。

事案：新規ブランドや商標登録前の情報、新しいアイデアのガラスの花瓶、装飾品の設計図面のデータベースに不正アクセスの証拠が出た。

　小さな会社ながら経営自体はしっかりしており、量産品の品質も評判がいい。また社長自身が、特にガラス製品については30年前から一品モノを製作しており、現在そのブランドを立ち上げ、新シリーズとしてさまざまなガラス工芸品（一部陶器）を開発している。ところが、その情報を盗もうとする人間による不正アクセスが判明した。この事実を知っているのは社長と夫人、そしてサーバ管理者兼情報セキュリティ管理者のY部長の三人。

　ログ情報から内部犯行の可能性が高いので情報は三人に限定した。従業員に悟られないよう筆者は、その企業の最寄り駅から2駅離れた観光ホテルに宿泊した。三人は業務後にそのホテルに出向き、調査の作業を検討して本社と工場において三人で分担して行うこととした。

　当面の問題点と希望は次の通りだった。

1. 不正アクセスなのは明らか。問題は「誰が」行ったのか。まず「どの情報を搾取したのか」という事実が知りたい
2. 不正アクセス自体は幼稚であり、ガードをするのは簡単であるが、そうすると犯人が逃げだすかもしれない。また、新ブランドの要となる「新規事業データベース」には相当に侵入を試みた形跡が見受けられる。セミナーで個別に防御法を聞いていたおかげでそこは突破されていないという状況証拠は多々あった。今後の防御策について教えてほしい。典型的な中小企業なので、極力費用のかからない方法をお願いしたい

●回答

　まず（1）について、ログや状況からみてサーバ管理者の言う通り、内部の人間が内部のPCから、その前月に定年退職したK部長のIDとパスワードを不正に入手してアクセスしていたことが判明した。

　不幸中の幸いだったことは、セミナーで伝えたようにアクセスコントロールをしており、「新規事業データベース」のアクセス権は社長と夫人、新規事業開発室長の三人しか許可していなかった。そのため、被害がそれほど及ぶことがなかった。

　筆者が伝えたことはまず、（1）ログ情報から不正アクセスのあった2週間ほど前に遡って、そこ日時を全てプロットし、従業員のタイムカードを突き合わせて完全に重複している「個人」を割り出すこと、（2）定年退職したK部長のアクセス権限における許可ファイルのうち、経理・会計上の重要ファイルと人事ファイルについては、犯人に警戒されるのを防ぐため、「閲覧権限」をそのままとし、「変更権限」のみ削除することであった。

　犯人の目的を考慮すると、犯人は興味本位で閲覧はしているようであったが、データを変更すると犯行がバレる恐れがあるので、そこまではしていなかったようだ。今後もしないだろうと思われたが、万一の場合を考慮してこういう対応にしたのである。そして、個人を特定したら専門業者に委託し、深夜に特定した人のPCのフォレンジック調査を実施ことにした。