ニュース
» 2013年06月28日 08時00分 公開

萩原栄幸の情報セキュリティ相談室:アダルトサイトのDMから分かった顧客情報の漏えい原因 (3/3)

[萩原栄幸,ITmedia]
前のページへ 1|2|3       

オフィスに出入りする外部の関係者

 今回の事案のようなケースでは情報漏えい犯罪が明るみになるのは少ないだろう。アダルトサイトのDMを受け取って、「なぜ自分のところに来るのか?」と思いつつも、無視すればそれで済んでしまう。受け取った人も、犯罪被害に遭っていると認識するまでには至らないのだろう。だからこそ、この警備員は今まで発覚されなかったのではないだろうか。

 M氏は警備員なので、深夜の警備中に何でもやり放題だった。これほど簡単に犯罪ができる環境は、他には無いと思う。この場合、犯行におよぶ上で障害になるのは、せいぜいOA端末を起動させる際に入力するIDとパスワードである。中小や零細の企業ではセキュリティに対する意識が低いせいか、管理職(特に中高年)の一部はディスプレイや机の端っこにメモしていることがよくある。これでは何のためのセキュリティ対策なのか分からないし、台無しになってしまう。その事に自身も周囲の人間も気が付いていない。

 一般的な対策を紹介すると大よそ以下の感じである。中小企業では多くの費用をかけられないという前提に立ったものだ。

(1)企業にとって重要なファイルはなるべくまとめて、別に管理する。簡単な方法としてはアクセスコントロールを行い、「重要ファイルのエリア」にアクセスする人(ID)を制限する。そのエリアに入るためには、別のパスワードや認証を利用する。

(2)さらに、そのエリアで「閲覧のみ可能」「閲覧/印刷が可能」「閲覧/印刷/コピーが可能」「閲覧/印刷/コピー/内容変更(編集)が可能」というように権限区分を設け、人(ID)単位で細かく制御できるようにする。

 例えば「営業上の機密」というような情報は、ここまで管理していないと、万一の犯罪の裁判では不利に働くこともある。多少の時間をかけてでも、まずは(1)を実施し、その後に本項を実現する。セキュリティの意識が低い中小・零細企業では「野放し」になっているところが少なくない。

(3)深夜、休日などの時間帯別にもアクセスコントロールを実施する。通常はアクセス不可の曜日や時間帯を設定する。緊急の場合は、複数の管理者権限人が許可を出すようにするなどの手続きに則ってアクセスコントロールを限定的(通常は1時間)に解除するなどの対応をとる。データへのアクセスが許可されていない時間帯にアクセス行為があった場合、その警告を複数の管理人や経営者に通知するとともに、アクセス行為についてはエラーで返すように設定する。


 さて、本件の直接的な原因となった「警備員の不正」だが、その後に警備会社の経営者とA社の双方が弁護士を交えて打ち合せを行い、損害賠償金や今後の体制などについてある程度決めたとのことだ。警備員の身元調査の強化についても合意した。なお、2人体制で警備を行う際の価格を定価から15%値引くとの提示が警備会社からあったが、A社としてはそれでは受けられないと、交渉を継続することになった。

 筆者は情報セキュリティの立場から次の助言を行った。

 まず2人体制での警備なら、1人体制よりも不正行為を抑止できる可能性が高まる。そこは価格の問題なので、経営者が同意できれば良いだろう。しかし、それだけでは不十分であり、2人体制でも片方が悪意を持っていれば、もう片方をだますことはそれほど難しくない。実際に警備員同士が結託して犯罪を行ったケースもあり、こうなると犯罪の発見は難しくなる。

 米国の企業の中には、2社の警備会社と契約しているところもある。例えば、本社内の偶数階と奇数階に分けてそれぞれの会社が警備し、1週間ごとに担当階を変更する。この場合、契約書で別の警備会社の警備員も監視することを明記しているケースが多い。お互いの動向を相互に監視するというものだ。監視カメラで撮影した夜の警備行動をライバルの警備会社がチェックしている。日本の文化ではそこまでの警備契約はなじまないので、まず見かけないし、コスト高になるため推奨はしないが、国際的にはそこまで考えている企業もあるということだ。

 さらに情報セキュリティ上では宅配業者や保守作業員、清掃人、出入りの販売業者なども、どの範囲まで警戒対象にすべきか決めるのがベストである。一昔前は、出入りの販売業者が簡単に執務室に入るシーンがどんな企業でも見られたが、今では許されないケースの方が多い。商品を購入したいのであれば、会社の受付に出向けばいいので、ある程度は我慢すべきだろう。企業によってはそれすらも許されないところも増えている。

 実際に筆者が経験した事案には、「清掃人」が不正行為をしたケースもある。それは次回に解説したい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -