転職の手土産に「社内情報を抜く」社員の危うさ

内部不正

全員が同じID・パスワードで1つのアカウントに入れる環境では、万が一内部不正が起きたときに、誰が操作したのかを特定できない( 画像:show999 / PIXTA)
内部不正やサイバー攻撃による情報流出が多発している。インシデントの事実関係や経緯を特定する「デジタル・フォレンジック」は、事後対策だけでなく不正の抑止にも役立つという。サイバーセキュリティの第一人者で、デジタル・フォレンジック研究会の会長を務める立命館大学教授の上原哲太郎氏に、企業が実践すべき基本的な対策を聞いた。

内部不正の証拠を集める「デジタル・フォレンジック」

――内部不正による情報流出がしばしばニュースになります。企業はそうした被害を公にしているのでしょうか。

公にならないことが多いと思います。「社員の管理に問題があった」と自白するようなものですし、不正競争防止法で立件するために警察に持ち込まないと表沙汰にはなりません。

よく聞くのは、転職の手土産に社内情報を持ち出すケースです。一度にデータを持ち出すと目立つので、転職活動を始めたころから日々少しずつデータを抜き取るなど、「本当にそんなことをしてしまうのか」と驚かされる話はたくさんあります。その証拠を集めるためにデジタル・フォレンジックを行う企業が増えています。

――デジタル・フォレンジックとは何か、改めて教えてください。

「Forensics」という単語は「法医学」や「鑑識学」に近い意味があります。それぞれ、原因をたどって責任のある人を突き止める仕組みです。

例えば、交通事故でひき逃げが発生したら、道路に残った塗料のかけらやスリップ痕などから、車種やタイヤを特定して犯人を探す手がかりにします。

これに相当する手法がデジタルの世界でも必要で、それが「デジタル・フォレンジック」です。ファイルのコピーが実行されたのはいつか、保存名は何か、コピーを命令したIPアドレスはどれか、などを特定していきます。

定期的な「セキュリティ監査」も不正の抑止力に

――どんな状況であっても、痕跡を追うことができるのでしょうか。

上原 哲太郎

上原 哲太郎(うえはら・てつたろう)立命館大学 情報理工学部セキュリティ・ネットワークコース 教授、NPO法人デジタル・フォレンジック研究会会長/京都大学工学部情報工学科卒。京都大学博士(工学)(写真:本人提供)

必ずしもそうではありません。事後ではどうしても追いきれなかったり、攻撃者のスキルが高くて徹底的に隠滅される可能性もあります。

実は、外注先となる専門企業もかなりピンキリなのです。

例えば、不正者がデータを削除した場合、「ピン」ならデータを復旧したり、消えたファイルを特定できたりもしますが、「キリ」だと、業者が他所から購入したデータ復旧専用のハード/ソフトウェアで形だけ復旧を試み、結局何もできずに費用請求だけされるケースもあります。

セキュリティ事業者を選ぶ際は、経済産業省の「情報セキュリティサービス基準」に適合していると考えられる「セキュリティサービス事業者リスト」(独立行政法人情報処理推進機構:IPA)を参考にするとよいかと思います。

――少しでも攻撃者の痕跡を追いやすくするために、企業が事前にできる対策はありますか。

「デジタル・フォレンジック」はあくまでインシデント後のアクションがメインです。「フォレンジック」ができるよう事前に備えることも必要です。これを私は「フォレンジック・アウェア」と呼んでいます。

具体的にはまず、IDとパスワードを個人単位で付与することです。共有パソコンで作業をする事業所や工場などでは、全員が同じID・パスワードで1つのアカウントに入ることが多いのではないでしょうか。これでは、内部不正が起きたときに誰が操作したのか特定できません。

――パソコンは別々にしていても、SaaSなどのクラウドサービスを同じID・パスワードで使いまわしているケースは多そうです。

情報システム部門が関知しないところで各部門が独自に導入する「シャドーIT」の問題ですね。基幹システムの認証はしっかりしていても、末端で使うシステムなどの対策がいい加減な例は大企業でも見られます。外部サービスはアカウントを増やすほど費用がかかるため、複数人でアカウントを共有しがちですが、やはり1人1アカウントは大切です。

あとは、バックアップをこまめにとっておくという対策です。ファイルやデータベース、ソースコード、通信のログなどを随時保存しておくと、不正の特定がしやすくなります。経理不正は経理台帳だけを見ていても駄目で、誰がどういじったのかを追う必要があります。

1年に1部門ずつ「セキュリティ監査」の実施を

――通信ログを残すことを息苦しく感じる社員もいるかもしれません。どう説明するとよいでしょうか。

これは昔から起きている議論で、「仕事ぶりをずっと監視されている」と受け取られたり、「労働強化だ」と反発する労働組合もあります。

しかし、通信ログを常時チェックする必要はないわけです。インシデントが起きたとき、社員が関わっているのかいないのかを確認するのが目的ですから、社員を守るための策とも言えます。「勤務状況を把握するわけではなく、普段は確認もしない。有事に原因を調べるためにやっている」と伝えてください。

――バックアップはどのくらい残しておけばいいのでしょうか。

あまり長期間保存すると、コストパフォーマンスが落ちるのは確かです。目安としては、税金関係書類の保存期間(国税関係帳簿は原則として7年間の保存が義務付けられている)です。また万が一、査察いわゆる「マルサ」を受けた場合に調査される資料は原則5年分ですから、経理や会計の不正をチェックするなら意識したいところです。

その他、リスクが高い部分のセキュリティを強化するのも有効です。「お金になる」ことが知られている顧客情報(名簿)や、特許などの知的財産周りには、まずは内部で「セキュリティ監査」を行うことをおすすめします。1年に1部門ずつ実施して、まずは5~6年で1周程度のペースで考えてください。

その監査結果はみなで共有して、セキュリティ意識を組織全体で高めていくのがよいと思います。効果が上がってくれば第三者による外部監査に切り替え、ISMSやPマークなどの認証につなげていくことで、対外的にちゃんと対策していることをアピールできるようにもなりますよね。

異変を報告した社員は「怒らずに褒める」

――全社的に取り組む姿勢が伝わると、社員の意識も変わりそうです。

こうした取り組みを増やすと、社内外に「うちの会社はセキュリティにかなり気をつけている」と周知されます。

情報処理推進機構の「組織における内部不正防止ガイドライン」では、内部不正防止の基本5原則を挙げていますが、「不正の機会を与えない」「出来心を起こさせない」ことは、不正の抑止と社員の保護につながります。

内部不正防止の基本5原則

――社内風土の醸成も、組織全体のサイバーリテラシーを向上させるうえで重要なのですね。

社員から「やらかしてしまったかもしれない」と報告されたとき、怒るのは厳禁です。むしろ褒めてあげてください。そうでないと、社員を守るためのセキュリティ体制とは言えません。

実際、パソコンが明らかに不審な挙動をしているのに本人は何も言わず、情報システム部門のアクセス監視でウイルス検知に至った例はいくつもあります。

インシデントの早期発見は非常に重要です。不始末で火事を起こしても、ボヤのうちに通報すれば大事になりません。パソコンに表示される怪しい「〇〇サポートセンター」に連絡してしまう前に、いち早く自分の会社に報告できるような風土を作ってほしいです。

もはやデジタル環境がなければ、仕事ができない時代です。デジタル・フォレンジックがしやすい環境があれば、万が一の際の調査・分析のコストも下げられますので、情報が追跡しにくくなっていないか、また社員一人ひとりが異変を報告しやすい体制かどうか、今一度見直すとよいのではないでしょうか。

(高橋秀和 : ライター)

ジャンルで探す