【セキュリティ】セキュリティ担当者vsデータ持ち出し

代々的に報道されたセキュリティインシデントをご紹介しながら、実際の現場での対応例と、リスクをどこまで受容するかを改めて考えるきっかけになれたらと思います。

▼朝日新聞デジタルさんより

楽天サーバーに漏出情報　SB元社員、同僚と共有の疑い：朝日新聞デジタル

ソフトバンクさんが、楽天モバイルさんを提訴するというような流れになるようです。

SB、楽天モバイル側を提訴の予定　情報持ち出し問題：朝日新聞デジタル

ソフトバンク社のセキュリティは甘いか？

この一件で知人と会話しました。
ソフトバンク社のセキュリティが甘いか？と聞かれましたが、そんなことはありません。
セキュリティにお金も人もかけていて、かなりしっかりした枠組みがある会社さんに分類していいです。（断言できます）

セキュリティ観点漏れの揚げ足取りはいくらでもできますが、時間の無駄です。

セキュリティ担当者は反省を踏まえ、起こったことを冷静に見つけ判断し、同じ問題が起こらないようにするだけです。

社内不正は防げない

元来、社内不正は防げません。
起きてしまった不正の規模が更新されるたびに、セキュリティも強化するという流れに行き着きます。

「それではダメ！将来起こり得る不正に対しての対策を…！」という人がたまにいらっしゃるのですが、無理です。

仮に無限に予算があって、あらゆるセキュリティ対策をしたとしましょう。
大きな権限を持つ人材が、他社にヘッドハンティングされました。
この人材は、会社に恨みに近い不満を持っています。
この事実だけで、不正を完全に防ぐのは無理です。

会社として不正がしにくくすることだけはできますが、人が感情の生き物である限り、リスクをゼロにはできません。

不正持出しの状況を仮定する

記事中「多くはファイル名が変更されていた」とあります。

不正を行った元社員は、外部へのファイル送信チェックの対策はしていたようです。

ソフトバンク社に、ファイル名での外部へのデータ持ち出しをチェックし、アラートが出る仕組みはある。
だからファイル名を変えて、セキュリティ担当者に目立たなくした。
その後、自分のプライベートPCにデータ送信をしたり、利用不可のはずのUSBのセキュリティを突破してコピーしたりと、あの手この手をやったと改定して話を進めます。

では、実務での外部ファイル送信のチェックはというと？

スクリーニング調査を邪魔する業務PCのプライベート利用

実際の業務で外部へのデータ持ち出しをチェックすると、プライベートな持ち出し多数。
その中に危険な持ち出しが含まれる格好になります。

多数のデータ持ち出しの記録を、スクリーニング調査します。
外部データ持ち出しが行われた記録を、選別整理する必要があります。

私のようなセキュリティ担当者は、業務PCのプライベート利用をしている人に頭にきてしまう。
「チェックするファイルが増えるだろうが！あんた！インシデント出たら共犯だぞ！」
という心境の元、涼しい顔でファイルチェックしなければなりません。

セキュリティ担当者に必要な判断力

セキュリティ担当者は、不適正なデータ持ち出しが悪意からなのか、無意識無自覚な行動なのかを判断する必要があります。

無数のファイルが飛び交う中で、まずは危険そうなファイル名で引っ掛けるのが常套手段。

個人情報とかコテコテのファイル名でも、引っかかる時は引っかかる。

ソフトバンクさんなんか、ファイルのやりとり数がすごそうです。
海外大手も含め、セキュリティ人材は人手不足。
それでファイル持ち出しを見ろと言われても厳しい。
見ていても、見きれない。

怪しそうなデータ持ち出しした者を、片っ端からヒアリングしても、調査結果がすぐに出るとは限らない。

それならと、データの取り扱い自体のルールを固めていく。
すると、対策をやればやるほど実用に耐えない。
データにアクセスしづらく、利用しにくい状態に。

データを取り出すことができる権限がある人物に対し、どこまでセキュリティ対策をするか？というのは難しい問題です。

外部データ持ち出しのチェックは、業務の性質もさることながら、性善説に基づく部分が大きいと考えます。

ITセキュリティの性善説

ITセキュリティの多くは、性善説で成り立っています。

社員が全員悪人だったと仮定するとわかりやすい。
重要な権限を持ったものも悪人ですから、不正が当たり前。

私がITセキュリティ担当者としてアサインされたのが株式会社アウトレイジだったなら、「木村、もういいよ帰ろう」となってしまいます。（？）

これでは何をしても無駄。
あらゆる手を使って不正が行われます。
全ての不正に対応するのは不可能です。

セキュリティ対策は、性善説に則らないと、ルールそのものが策定できません。

社員全員が悪人ベースでセキュリティを考えることはいいのですが、実際に全員悪人ベースでルールを施行すると、営業活動ができなくなります。

今回の事件では、関係各社は人的対策と呼ばれるようなことを含めて対策をすることになります。

社員教育やデータへのアクセス権限見直しもそうですが、ログチェックを厳重に行うことなどを強化していくはずです。

▼書いていたらプレスリリースありました。

楽天モバイルへ転職した元社員の逮捕について | 企業・IR | ソフトバンク

まとめに変えて｜現場のモラル

実際の現場では、不正ではない正規利用の外部持ち出しも多くあります。

セキュリティ担当者も、アラートを四六時中は見ていられない。
あるタイミングで記録（ログ）を見て、危険なデータ持ち出しがないかどうか判断します。

データ持ち出しは原則できてしまいます。
重役職に就くとか、データの管理権限のあるポストに収まるでもいい。
目と頭を使って記憶してもいいし、こうなりゃサーバごと盗んで…。

事件は、データセンターやデータサーバをハッキングしたとかそういうことではないらしい。

重要データを持ち出すのも悪いが、受け取る方も受け取る方。
現場のモラルが大事なのは変わりません。
ITセキュリティの現場では、不正をさせない雰囲気作りが大事なのです。

よくある恋愛のセキュリティ

外部へのファイル送信内容のチェックをするのは、当たり前にあることです。
業務上好ましくない社内恋愛（ご想像にお任せ）が発覚することもありますが、これは人事部に任せましょう。

#セキュリティ #データ #持ち出し #不正 #チェック #外部 #ファイル #ソフトバンク #できる #社員