機密情報DBに不正アクセスの疑い、お金をかけずにどう対処すべきですか？：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

今後の防御策を知りたい

　この手の問題は、そのほとんどが社会に埋もれてしまっているが、実はかなりある。新聞報道もされず、社内にも通知されないので、日本だけでどのくらいの件数があるかは不明だが、筆者の経験から思うに、年間に日本だけでも数千件以上はあるだろう。

　そして、この場合の防御法であるが、W工業は上場企業ではない、「お金をほとんど出せない」という経営者の気持ちは理解できる。まずは基本に忠実に、アクセスコントロールの細分化とログの改ざんされない記録を定期的に、できれば毎日にチェックすべきだろう。中小企業ではいくら忠告しても、ログすらなかなか採取していないところが今の時代でも結構ある。「まずはログを採取する」というところでは、それほど費用はかからない。

　また、「ログは採ってます」という経営者はいても、ログの中身の解析はしていない企業が数多くある。監視カメラを設置して盗まれるところが撮影されていても、分析をしないということは、「盗まれたという事実すら認識できていない」ということにつながる。

　その費用は、素人が考えている以上に多額になるのは事実だ。通常、中小零細企業に専門家はあまりいない。安価に済ませるなら、ログ分析ツールとか情報漏えい防止システムツールの導入をお奨めする。専門家が手作業でログを分析すると高額となるが、これなら費用についても経営者が納得できる線として取り敢えずは有効としたい。調査コストが本業を圧迫しては意味がない（専門家ほど正論を主張するが、限られたリソースの中でどう企業を守るかを常に考えるのが本当の専門家である）。

　ここまでの対応は、実はある意味で教科書的だ。現場経験などから、まだ大きな「抜け穴」があることに気が付けばあなたは中級者以上かもしれない。

　それはこの案件の直接的な原因になった、「前月に定年退職したK部長のIDとパスワード」が半月経ってもまだ有効になっていたという点である。中小企業は、表の顔では「うちはしっかり情報セキュリティ対策をしています。ISMSもBS7799もある」と言っているが、実際には異なるところが多い。筆者は、よく「退職者IDは退職日の定時以降の1時間以内に抹消しましょう」とアドバイスしているが、実践している企業は極めて少ない。ここのポイントだけでも基本に忠実に実施していれば、この事案は発生していなかったのである。

　こういう小さなことの積み重ねが、実は大きな力となり、サイバー攻撃防御にも通じる企業の対策となってくる。企業により、この「小さな脆弱さ」は少ないところでも数十、多ければ優に百を上回る。そうしたところを、専門家と一緒に苦労して探し、現状分析して、改善をしていく。これを地道に作業するのが、一番の近道なのかもしれない。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。