土日の日本経済新聞(2023年11月4日、5日) -不正ログイン事件

ai generated, piano, digital-8348887.jpg 最近の出来事

システム系の人材は重要。

セキュリティを構築するのも大切!

 この土日の日本経済新聞で気になった記事は、5日(日)の朝刊27面の記事、「上司悪口 なりすまし投稿」(揺れた天秤~法廷から~)である。

 社内のビジネスチャットで本人に見覚えのない上司の悪口などが投稿、その他会社への不満をつづった個人メモが暴露されたという事件だ。

 犯人はこの会社でシステムエンジニアとして働く男(36)だった。

 社内のシステムを管理する仕事は、実は人事よりも秘密を多く持っていると思った方が良い。メールに添付した資料や、そのネットワーク上で管理される個人使用のPCの中身なども見ることができる場合が多い。

 私は、人事採用担当だったのでシステムにはあまり詳しくない。しかし以前の会社に勤めていたとき社内の顧客情報について情報漏洩事件があり、それで当時企画部にあったシステム管理部門に調査協力をお願いしたことがある。

 どのようなHPにアクセスしたか、妙な画像をダウンロードしていないかなど、サボって遊んでいることもほとんどわかってしまう。

 情報漏洩で問題となったファイルへのアクセスは、特別な端末でしかできない。しかも、データをまるごとコピーするのは一定の権限がある者しかできないようになっていた。

 ただし、受付などで職員が使う情報なので、個人情報をプリンタなどで打ち出すことができた。

 受付に関係のあるプリンタ打ち出しと、全く関係のない打ち出しを区別して、その関係のない情報に印を付けて監視したりした。

 結局、その情報漏洩に関与した係長は逮捕され懲戒解雇された。

 とにかくシステムの管理者は、ちゃんとした検索の技術があるので、社内で不正な動きをした職員にすぐ当たりが付けられると思った方がよいと思う。

 さて今回の事件であるが、動機は社内の人間に対する恨みやその仕返しのようである。また、恨みのない人間に対してもいろいろとやったようだが「内部のシステムがどうなっているかという技術的な興味」と「驚かせてやろうといういたずら目的だったそうだ」。

 男の所属する会社は、ソフトウェア開発の会社で、まさにこのようなチャットツールなどの供給していたようだ。事件による代替サーバの設置などで300万円の被害、そしてこの会社のチャットツールを使いたくないという意見もあるらしく営業上の被害はもっと拡大する可能性がある。

 以前のブログで、転職時に元の会社の顧客情報を持ち出すという商社の事件を取り上げたことがある。その場合、営業の職員が情報を持ち出したが、このようなシステム系の職員が情報を持ち出したらそれは大変な損害になるだろう。

 記事では、そのような不正抑止の手段として、複数の管理者が作業内容を相互監視するほか、管理者権限を使う場合はログを残すなどの取り組みが必要だとしている。

また現在では、社外と社内を分け、外部からのアクセスを中心にセキュリティを考えているが、「ゼロトラスト」、すなわち、外部のみならず内部の人間に関してもすべて検証の対象とする方法も採用されつつあるそうだ。

 システム関連の人材の需要は高く、好条件で引き抜かれる事例を何件か知っている。就活生でも、プログラミング経験者、アプリ開発経験者などの理系人材の内定がいち早く決まっている。

 このようなシステム系の人材については、とても大切な人材であることは分かるが、企業としてもその人間性や倫理観をしっかりと見て採用しなければならないなと思ってしまった。

コメント