内部不正での情報漏洩を防ぐカンタンな方法(350号)
今回も前回に続いて、NTT西日本のグループ会社で発覚した大量かつ長期間にわたる情報漏洩のインシデントについてお話をします。
前回は、どうして10年もの長期間にわたって情報の持ち出しが行われたかについてお話しました。
今回は、このような情報持ち出しを防ぐ方策についてお話します。
事件の概要(おさらい)
※ この章は前回と同じ内容です。
この事件はNTT西日本のグループ会社であるNTTプロマーケティングアクトProCX(以降ProCX社と書きます)と、NTTビジネスソリューションズ(以降BS社と書きます)という二社で発生した情報漏洩事件です。
この二社は共同していろいろな会社のコールセンター業務を請け負っています。
コールセンター業務には、お客さんからの製品の質問や苦情の電話を受けるもの(インバウンドコール)やお客さんへの商品紹介や支払いの督促の連絡を行うもの(アウトバウンドコール)があります。
こういったコールセンターの運営には独特のノウハウが要りますので、コールセンターのプロとして、他社のお客様窓口業務を請け負う会社は必要とされています。
実際、ProCX社は70社近くのコールセンター業務を請け負っているそうです。
この二社はProCXが業務委託元(約70社)との契約や各コールセンター(電話オペレータ)の管理を行い、BS社はコールセンターシステムの開発と保守を行うという役割分担になっていました。
今回の事件はBS社で情報管理サーバの保守を担当している技術者(以降、Xと記載します)が、管理者IDをを悪用して、顧客である各社から預っている顧客情報を盗んでは名簿屋などに売却していたというものです。
情報の横流しは一度や二度ではなく、2013年から2023年の10年間にわたって、合計で900万件を超えるデータを窃取していたとのことですから、大きなニュースになったのです。
この事件には総務省からも再発防止を求める行政指導が行われ、それに従いNTT西日本から2024年2月29日に「調査報告書」が公開されました。「X」という呼称はこの調査報告書に合わせたものです。
今回の記事はその報告書をベースに作成しています。
なお、Xは1月末時点で警察に逮捕されており、容疑を認めているとのことです。
情報を持ち出させないために
ProCX社は大量の個人情報を保有していましたので、その情報はかなり厳重に守られていました。
外部からの攻撃による漏洩にはかなりの労力をかけて対策が行われていたようです。
一方で、内部不正による情報漏洩にはほとんど注意が払われておらず、やろうと思えば誰でも情報持ち出しが行える状況でした。
調査報告書にも「まさか内部で不正が行われているとは考えてもみなかった」という関係者の発言が散見されます。
ですが、この発想は必ずしも悪いことではありません。
組織メンバを信頼することは、それ自体が事故防止策にもなるからです。
信頼には犯罪抑止効果があります。
誰だって「ああ、オレは信頼されているんだ」となれば「じゃあ、その信頼に応えるぞ」となるものです。
「この信頼を悪用して情報を盗むぞ」なんて人はごく少数です。
つまり、相手の信頼を悪用しようとする人はそんなにいないということです。
メンバを信頼しそれを伝えることは有用ですし大切なことです。
だからといって、性善説に全てを委ねるのはいただけません。
これをリスク管理の観点で考えてみましょう。
リスク管理ではリスク発生時の影響度を下げるために複数の対策を採用することが一般的です。
例えば、高所での工事など常に危険を伴います。
作業中に転落したら命にかかわります。「まさか落ちるとは思わなかった」では済まないから、いろいろな対策を取ります。
命綱や手すりといった物理的な対策だけでなく、手順見直しによる高所作業時間の短縮、作業者への安全教育、保険への加入などが考えられますよね。
こういった複数の対策を採ることをリスク分散と言います。
複数の対策を採用することで、仮にリスクが顕在化しても、重大な結果とならずに済む可能性を高めておくわけです。
内部不正による情報持ち出しの防禦も同様です。
信頼を見せるだけでなく、個人情報に触れられる人や機会を最少化する、持ち出しができないようにする、といった複数の対策が必要です。
以下では、情報盗難での金銭の取得という「悪魔のささやき」を防止するという視点での解説となります。
誰がやったかわかるようにする
まず、個人情報に触れることのできる人を最少化しておくことは重要です。
情報に触れることを許される人を絞り込むことは、こういった運用シーンでは必ず行われています。
これは上述の「信頼の証」でもあるのですが、同時に「必要なら後で調べられるぞ」と示すことでもあります。
実際、今回の事件でも誰もが情報にアクセスできたわけではありませんでした。
とはいえ、実際に誰が使ったのか後で調べられない運用だったり、アクセスしたければ、IDもパスワードも割と簡単に手に入るなど、情報に触れられる人を十分に絞り込んでいるとは言いがたい状況でした。
この状況では「誰がやったか」がわかりません。
今回の容疑者であるXにしたって、最初はおっかなびっくりだったはずです。
でも、誰も調べようともせず、疑われることもないとわかれば、漏洩させる件数や情報の質もエスカレートしようというものです。
その結果が、十年をかけて9百万件以上という膨大な情報漏洩事件となったのです。
ですから、誰がどんな業務でどんなデータにアクセスしたかを調べられる環境にし、実際に定期的にそれを確認することはとても大切なことです。
なお、これは内部不正だけでなく、外部からの攻撃に気付くための作業としても重要です。
一人で作業させない
これも「悪魔のささやき」防止策としては非常に有用です。
顧客情報が入ったサーバでの作業を行う場合に、必ず2名で作業をするという方法です。
さすがに他のメンバが横にいる時に不正コピーをする人はいないでしょう。
これが効果的なのは間違いないのですが、問題はコストとモチベーションです。
当然作業を2人でするわけですから、延べ作業時間は二倍、つまりコストが二倍かかります。
また、同行者は作業時間中に横で見てるだけですから、モチベーションが上がりません。
もっとも、こちらは途中で交替する、見ている人も関連作業(作業手順の確認役、トラブル時の連絡役)を行うなどの工夫で何とかなります。
やはり、問題はコストが二倍になってしまう点ですね。
二人作業が作業品質向上に繋がるのは間違いないので、お客さんに説明を重ねるしかないと思います。
物理的に持ち出させないようにする
今回のような顧客情報満載のデータベースはインターネットからアクセスできない場所に保管されることが多いです。
外部からの攻撃への対策としては、これは最強といっていいでしょう。
何せインターネットに接続していないのですから、侵入のしようがありません。
今回のネットワークもそういったクローズド(閉じた)ネットワークだったようです。
クローズドなネットワークから情報を持ち出すとすると、操作端末(パソコン)から物理的な道具を使って情報をコピーする必要があります。
こういったクローズドなネットワークに接続する時は、実際にデータを格納したサーバが置いてあるデータセンターに行くか、そのデータセンターへの接続用のパソコンや回線が用意されている場所(通常は勤務先の事務所)に行く必要があります。
そういった場所にや専用のパソコンを設置していますので、そのパソコンにコピーできない仕掛けをすることになります。
パソコンから情報コピーできる道具となれば、通常はUSB接続です。
・USBメモリ
・SDカード
・ハードディスク
・SSD
・スマホ
逆に言えば、USBポートを塞ぎさえすればコピーはできなくなります。
USBポートを塞ぐための製品(USBポートロック)はサンワサプライなどの周辺機器メーカから販売されていますので、それを使いましょう。
業務上でコピーが必要な場合は、USBポートを塞ぐ工具(同時に塞いだUSBポートを開放できる)を上長や総務部門から貸し出す形にしておけばOKです。
こうすれば、上長に話をして工具を借してもらわない限り、コピーはできません。
さらに過激なことを言えば、USBポートを壊してしまう方法もあります。(例えばコーキング材や接着材をUSBポートに充填する)
ですが、この方法だと本当に必要な場合もUSBポートが使えませんし、メーカ保証もきかなくなります。
なお、デスクトップパソコンの場合は、フタを開ければ何でもできてしまうので、フタを開けられないようにロック(南京錠)を付けられます。
まとめ
2024年2月29日にNTT西日本から、2023年に発覚した大規模な顧客情報流出事件についての調査報告書が公開されました。
今回はそれに対する考察の二回目として、内部不正を防ぐ方法についてお話をしました。
内部不正を防ぐには、不正行為ができない環境を整えることが大切です。
こういった不正行為に手を染めることを筆者は「悪魔のささやきに負けた」と言っていますが、「悪魔のささやき」を防ぐ方法はいろいろあります。
例えば、定期的なアクセスログの確認、二人作業、コピーできないパソコンの利用といった方式です。
筆者は基本的に性善説に基づいてセキュリティ対策を書いています。
何も「人は本質的に善である」と言いたいわけではなく、その前提にしておいた方がWin-Winでラクできることが多いからです。
疑ってかかると、アレとコレだけじゃなくて、ミスの可能性がゼロでないものは全てチェックする、といった流れになりがちです。
ですが、これをやり続けると、滅多に起きないチェック項目ばかりが増え、本当に注意すべき点に注意が向かなくなります。これは逆効果です。
重点チェック項目は三つなのに、チェック項目が山ほどあると、どれが重点項目かわからなくなりますよね。これではチェックの意味が薄れてしまいます。
むしろ「この三つだけは何がなんでもチェックしてね!」の方が人は間違わないし結果的に質の高いチェックができると思うのです。
今回はNTT西の情報漏洩事件の調査報告書をベースとして、内部不正を防ぐ方式についてのお話でした。
次回もお楽しみに。
(本稿は 2024年3月に作成しました)
このNoteは筆者が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
h行ttps://www.mag2.com/m/0001678731.html
また、公式サイトでも最新版を公開していますので、そちらもどうぞ。
この記事が気に入ったらサポートをしてみませんか?