急成長ベンチャーの社長が犯したコンプライアンス違反：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

設立5年のベンチャー企業に就職したばかりのシステム管理者がログの収集に挑んだところ、不可思議な点が次々に判明した。前任者がクビになる事態も発生したこのベンチャー企業で、いったい何が起きていたのだろうか。

[萩原栄幸，ITmedia]

　今回は数年前に遭遇したある事件を取り上げたい。いわゆるITベンチャー企業の1つであるA社でシステム管理者を務めているB君が、「ちょっと相談に乗ってほしい」というきっかけであった。A社は設立後から破竹の勢いで成長してきた。さて、どういう状況だったのだろうか？

（編集部より：本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。）

　B君が筆者に相談を持ちかけた頃、A社は設立5年目を迎えていた。とてもニッチな分野のビジネスで急成長した。B君はそのA社に半年ほど前に入社したばかりであった。ちなみにB君は、その会社の専門領域について一般的な内容は知っていたが、Webサイトの制作から社内システムやネットワーク系の管理までのシステム全般について、いわば“何でも屋さん”的な業務を任されていた。

　B君が話すには、A社はWebサイトの更新などにはとても熱心だが、インフラとしてのネットワーク系に求められる最低限必要なセキュリティ対策、会社にとって極めて重要な技術系のデータベースや顧客情報などについての意識や管理はあまりにも脆弱であり、「これではシステムの責任者として業務を遂行することすらできない」という。

　筆者が「経営者に相談してはどうか」と伝えると、B君は「当然何回もしました。でも、そのたびに無視されたり、『今のリソースで十分だから、君は私の指示通りに作業してくれればそれでいい』と言ったりするだけです」とどうにもならない状況だという。

　B君の前任者は、良かれとの思いから社長に無断でログの採取や情報漏えい防止システムを導入しようとしたところ、クビになったそうである。「どうみてもおかしい」とB君はひたすら話を続けた。「ログ採取など一部の作業は費用がかからないんですよ。そんなことすらできないなら、自分はなぜここにいるのかと思うほどです。仕事は単純なWebサイトの制作とネット管理、ウイルス対策やOSのパッチ適用ぐらいで、自分のスキルが発揮できません……」

　ここまで聞いて筆者は、B君に「ちょっと試しにこういう事くらいはしてみたらどうか？」と提案をした。当然ながら、経営者の意向と違う作業をすることになるので、万一の場合にはB君が前任者と同様にクビなる恐れもある。筆者の提案を実行する覚悟があるのかも確認したが、彼は数秒考えて「やってみます」といってきた。

　その提案とは、お金をかけることなく実施できる次のものである。

• 顧客情報系ファイルのアクセスログの採取
• 技術系データベースのアクセスログの採取
• 社内ネットに接続している全端末の土日、深夜を含めた24時間のログの採取

　もちろん投資を伴う作業はできないので、せめてB君が業務の空き時間を活用してできる、経営者が否定しているログ採取をしようというわけである。B君は「でも、これって何かなるんですかね」と聞いてきた。筆者は「私の勘が合っていれば、とても興味深い結果になるだろう」と答えるにとどめた。