早期発見でみんなをハッピーに（352号）

こんにちは。

えがおIT研究所のしみずです。

読者の皆様にはご心配をおかけしましたが、ようやく「がんばりすぎないセキュリティ」を再開できる運びとなりました。
皆様には今まで以上に有用な情報をお届けできるように努力して参ります。
今後とも、どうかよろしくお願いいたします。

さて、前回の351号から１ヶ月が経ってしまいました。
349号～351号にかけて、NTT西日本での大規模漏洩についてのお話をしました。
さすがに旬を過ぎたネタではありますが、もう少しだけお話しをさせてください。

事件の概要（おさらい）

※ この章は前回と同じ内容です。

この事件はNTT西日本のグループ会社であるNTTプロマーケティングアクトProCX（以降ProCX社と書きます）と、NTTビジネスソリューションズ（以降BS社と書きます）という二社で発生した情報漏洩事件です。

この二社は共同していろいろな会社のコールセンター業務を請け負っています。
コールセンター業務には、お客さんからの製品の質問や苦情の電話を受けるもの（インバウンドコール）やお客さんへの商品紹介や支払いの督促の連絡を行うもの（アウトバウンドコール）があります。

こういったコールセンターの運営には独特のノウハウが要りますので、コールセンターのプロとして、他社のお客様窓口業務を請け負う会社は必要とされています。
実際、ProCX社は70社近くのコールセンター業務を請け負っているそうです。

この二社はProCXが業務委託元（約70社）との契約や各コールセンター（電話オペレータ）の管理を行い、BS社はコールセンターシステムの開発と保守を行うという役割分担になっていました。

今回の事件はBS社で情報管理サーバの保守を担当している技術者（以降、Xと記載します）が、管理者IDをを悪用して、顧客である各社から預っている顧客情報を盗んでは名簿屋などに売却していたというものです。

情報の横流しは一度や二度ではなく、2013年から2023年の10年間にわたって、合計で900万件を超えるデータを窃取していたとのことですから、大きなニュースになったのです。

この事件には総務省からも再発防止を求める行政指導が行われ、それに従いNTT西日本から2024年2月29日に「調査報告書」が公開されました。「X」という呼称はこの調査報告書に合わせたものです。

今回の記事はその報告書をベースに作成しています。

なお、Xは1月末時点で警察に逮捕されており、容疑を認めているとのことです。

犯罪者になりたい人はいない

犯罪心理学というものがあります。
その中に、どんな条件が整えば人は罪を犯すのだろうか？という研究があります。

犯罪を犯すには３つのハードルがあるそうで、その全てを越えてしまうと犯罪を犯すケースが多くなるそうです。

　1.理由
　　・お金が欲しい、
　　・誰かを見返してやりたい
　2.正当化
　　・オレはもっと評価されるべきだ
　　・誰に迷惑をかけるわけでもない
　　・一時的にお金を借りるだけだ
　3.機会
　　・安全な方法に気づいた
　　・実施可能なチャンスがある

実際に、Xの行動を見ますと、この三つのハードルを全て越してしまっています。
　理由：お金が欲しい
　正当化：（正社員に比べて）オレはもっと評価されていい
　機会：安全な方法と実施のチャンスがある

逆に言えば、この三点を意識した対策を取れば、犯罪抑止能力があると言えます。

Xのケースなら「顧客データ取扱手当」だとか「データベースマイスター手当」といった手当を設定することは可能だったでしょう。

また、前々回に書いた「誰が作業したかわかるようにする」「一人作業をさせない」といった対策は「機会」のハードルをグンと高くすることができます。

また、定期的なジョブローテーションも「機会」のハードルを上げるためには有効です。

もっとも、ジョブローテーションの頻度を上げすぎるとデメリットも出てきます。
高いスキルを持つメンバ育成が大変、トラブル解消が遅くなりがちなど、現場の不満がたまりやすくなります。

ですが、今回の事件のように10年以上も同じ仕事に従事させることは「機会」のハードルを低くしてしまうことは意識すべきです。

成功するとエスカレートする

もう一つ、大切な視点は早期発見できる仕組みを複数用意することです。

例えば、作業報告を必ず行うこと、繰作ログの検証を行うこと、内部告発のルートを整備すること、といった仕組みです。

作業報告を細かく書くようにすると、不正行為に要した時間をゴマカす必要が出てきますが、繰作ログと矛盾がないようにゴマカすのは大変です。
ましてや、長期間続けることはほぼ不可能です。

また、操作ログの検証も同様で、一度二度なら間違った繰作をしたなどとゴマカせても、長期間にわたって続けることは困難です。

こういったチェック体制がないと、犯罪がエスカレートします。
エスカレートするにつれて、当人の行動もどんどん大胆になっていきます。

窃取する情報量が増え、最初は氏名とメールアドレスだけだったのが、住所やカード情報といった機微な情報にも手を付けるなど、悪質化していきます。

今回の場合、発見が遅れに遅れた結果、親会社であるNTT西日本の社長が引責辞任する事態となりました。
当然、ProXC社もBS社の業績にも多大なインパクトを与えます。BS社などは社の存続にも影響があるやもしれません。

もっと早期に発見できていれば、漏洩の範囲も小さく済みますから、会社としてもそれだけダメージを小さくできます。

この事例は早期発見がいかに重要かということをまざまざと見せつけてくれます。

内部告発のツール

内部告発というとあまりイメージが良くありませんが、早期発見には非常に有用な仕組みです。

内部告発の場合、告発者を守る仕組みが必須となります。
　・匿名で通知できること
　・無責任な投稿を認める（何でもWelcome）こと

ヤバい情報ほど発信者は身元バレによる報復を恐れます。

告発したら報復を受けるかも、となれば誰も告発なんてしません。
重要な内部告発を受け取りたければ匿名は必須要件です。

また、噂や無責任な発言も許容すると明言しておく必要があります。
噂が間違っていたら責任取らされる、なんてたまったものではありません。

さて、こういった匿名での投稿ができる仕組みって、あまりないんです。
メールもチャットもSNSも匿名投稿はほぼ不可能です。

確かに匿名を保証するチャットシステムやメールシステムもあるにはありますが、万人向けとは言えません。

というわけで、ここでは昔なつかしい「意見箱」をオススメしておきます。

若い方はご存知ないかもしれませんが、昭和時代には「意見箱」は一般的なツールでした。
ちょっとした改善提案などを紙に書いて意見箱に入れておき、総務担当者などが定期的に内容をチェックするという運用です。

有用な提案は採用され、提案数の多い人は朝礼で表彰したりしていました。
記名式が多かったですが、ヤバい情報は匿名で投稿されることもあり、内部告発のツールとしても使われていました。

「意見箱」はテレワークで使えないなどデメリットもあるのですが、お手軽に導入できる点は悪くないと思います。

読者の皆さんで、もっと良い方法をご存知の方は是非教えてください。

NTT西の改善策は有効か？

さて、NTT西日本は今回の報告とセットで改善策を総務省に提示しています。

「お客さま情報の不正持ち出しを踏まえたNTT西日本グループの情報セキュリティ強化に向けた取組みについて」（ https://www.ntt-west.co.jp/news/2402/240229a.html ）

このページにリンクのある「別紙１」にはセキュリティ強化の内容が記載されています。

内容は非常に立派なものなのですが、果たしてこれが実施できるのか？という視点で見ますと少々疑問が残ります。

今回のトラブルの発見が遅れたのはProCX社やBS社がNTT西日本が定めたルールを遵守しなかったところから始まっています。

筆者としては、NTT西日本のルールは今回の強化がなくとも精度の高いものだったと考えています。
キチンと遵守していれば、早期発見も可能だったはずです。

第三者の無責任は発言ではありますが、筆者としては現状のNTT西日本のルールでも十分に思えます。
不十分なのは、その遵守を検証する手順だけに思えます。

NTT西日本側もそれは十分わかっているのでしょうが、報告書上はルールが増える方向となっています。
総務省など関係者の納得感を得るために、やむを得ないところかもしれません。

ですが、情報セキュリティ対策で本当に難しいのは日々の運用です。
より厳しいルールを嘔うのはカンタンです。

ルールを形骸化させずに守り続けることの方がずっとずっと難しいのです。
この点については、今後のNTT西日本のお手並拝見といったところです。

まとめ

少々時期外れとなりましたが、NTT西日本の情報漏洩に関する考察の四回目です。

今回は早期発見がテーマです。

早期発見をすることで、会社のダメージを軽減でき、犯罪者自身も人生を棒に振らずに済み、他の社員も失業などのとばっちりを受けずにすみます。
全ての人がハッピーになれるのです。

犯罪心理学によると、犯罪を犯すには理由、機会、正当化という三つのハードルを全て越える必要があるそうです。
ですから、ハードルを高くすれば、犯罪を抑止できることになります。

その具体的な方法として、350号で書いた繰作ログなどの検証、一人作業の禁止に加えて、ジョブローテーションや内部告発の仕組みを整えることなどがあります。

こういった仕組みを上手に利用すれば、早期発見はそう難しいことではありません。
それでも、今まで取り組んでいない作業ですから、コストも現場の負荷も（一時的には）上がるかもしれません。

でも、それは必要なコストです。
自動車の安全設備や工場の安全対策を不要という人はいないのと同じです。

もちろん、無駄なお金を使う必要はありません。
その費用、作業量、効果を勘案し、組織にとって必要と考える対策をチョイスすれば良いのです。
これは情報セキュリティ対策に限らない話ですよね。

今回は、NTT西日本の情報漏洩の事例から早期発見についてお話をしました。
次回もお楽しみに。

（本稿は 2024年4月に作成しました）

このNoteは筆者が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
h行ttps://www.mag2.com/m/0001678731.html
また、公式サイトでも最新版を公開していますので、そちらもどうぞ。

https://www.egao-it.com/