コスト削減が招いた情報漏えいの理由 「内」と「外」の盲点：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

回答

　このご時世でA社も多分に漏れず、経費削減の結果として今回の事件が発生する1年ほど前に警備内容を変更していた。夜間警備を主体にして、日中の警備契約のほとんどをカットしたのである。ここまでくると、「犯人はまた警備員だろう」と邪推される読者がいるかもしれないが、今回は違うと先にお伝えしたい。

　話を進めよう。A社での警備契約の変更は全従業員にも通達されており、公開情報ではあった。だが専門家の立場でみると、ここが十分ではないと感じる。ほとんど企業はここまで（情報提供まで）で終わってしまうのが現実だ。「それによって何がどう変化するのか」という洞察力が足りない。企業にその洞察力を持ったコンプライアンスや情報セキュリティの人材がいないように思わざるを得ない。

　企業の姿をみてみよう。受付に素敵な女性がいて、そこに面談であることを告げる。受付のすぐ側に警備員がいる。受付係が訪問者に「5階に上がり、そこの512号室の会議室にお入りください。担当者がお待ちしています」と告げる。訪問者が5階に上がると、そこの階にも警備員もしくはその階の専用の受付係がいて、「連絡が入っておりますので512号室にお入りください」と告げる。無事に面談を終えると、対応者が1階の受付係に内線で「これからお客様が帰られます。」と連絡する。対応者とは5階のエレベータホールで別れる。

　現実にそういう企業は多い。いや、「多かった」というのが正確だ。今ではコスト削減から警備員を削減し、受付係も廃止している。自社ビルというのに1階には誰もおらず、単に内線電話機だけが置いてあり、訪問者はそこでから事前に連絡した相手に電話をするというケースがおなじみである。初対面で不慣れな場合は、相手が玄関まで出迎えてくれることもある。しかし、何度も面会しているような常連は、大抵の場合「今日は512号室なので、5階に上がってきてくれ」といわれて訪問者が勝手に向かえばよい。帰る時も、初対面でも常連でも面談したフロアのエレベータホールであいさつを交わして別れる。

　さて、警備員や受付係がいてもいなくても帰り間際の対応は一同じであり、「何がおかしいのだろうか」と感じるかもしれない。だが、情報セキュリティの専門家なら「それはダメ！」というだろう。なぜなら、警備員や受付係がいる時の「内部」と「外部」の境界線と、いない場合の境界線とは全く異なるからである。

　警備員や受付係がいるときの境界線は、それぞれのフロア（上述の場合は5階）が緩衝地帯だった。ところが受付係も警備員もいない自社ビルでの外部と内部の緩衝地帯は、1階のエレベータホールになる。そのように変化しているのだが、その変化に気がつかない（気がつけない）人があまりに多い。

　今回の事案における根本的な要因は、実は依頼主であるA社のコンプライアンス統括部長なのだ。警備体制が変化したことで、A社のセキュリティの境界線が崩れた。来訪客を別れるのは5階のエレベータホールではなく、1階のビルの玄関でなくてはいけないのである。警備体制が変化する前は5階のエレベータホールが緩衝地帯だったものの、警備体制や受付廃止によってその緩衝地帯が変化し、5階のエレベータホールは「内部」の世界に変化した。コンプライアンス統括部長もその変化に気付いていない。

　A社の情報漏えいは、常連の訪問者であるX氏が起こした。彼は5階でA社の担当者と別れた後、「手土産に顧客情報とか有意義な情報はないか」と物色する目的で途中の3階で下りた。その中の1つの部屋が空いていた。偶然にも全員が役員室に呼ばれ、賞与支給の通知を渡され、5分間のスピーチが行われていた瞬間だった。「たった5分なら……」と考えた人もいただろう。

　X氏は、その部屋に誰もいないことを確認し、机上の資料の山から配布予定のホチキス止めされた資料の一部を抜き取った。監視カメラもなく、コピー機も履歴が残ったり、LANで監視したりできる機種ではなかったという。これらが偶然も重なったが、犯罪とは往々にしてこういう隙間が重なった場合に起きるものであり、特に驚く状況ではなかった。それよりも大変なのは、そこまで追求する作業だ。1つ1つの可能性を潰していく過程で「たぶん、これが原因だろう」と思ったものを裏付ける調査が大変である。本案件ではA社のコンプライアンス統括部の社員が大変に苦労された。

　今回のような事案において、情報漏えいの直接的な防止策はそれほど難しいものではない。社員と役員の全員に対してコンプライアンス教育や情報セキュリティ教育を徹底して行った。通常は不参加者が1割程度いるものだが、A社では社長命令で全員が強制参加になった。

　この「内部」と「外部」の考え方は、ネット記事や本でも見かけないので、ほとんど知られていないようだ。警備1つ、受付1つでその緩衝地帯が大きく変化するということは、言われれば「なるほど」と思うかもしれないが、言われなければ、気付きもしないのが普通なのだろう。だからこそ、この手の教育は軽くみてはいけないのである。そして「継続は力なり」の言葉通り、常に企業として認識し続けなければならないのだ。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。