第2回 情報が漏れた! まず何をすればいいのか?

根津 研介
園田 道夫
宮本 久仁男
2004/12/23
※ご注意
本記事はフィク ションであり、実在の人物・組織などとは一切関係ありません。

前回までのあらすじ

 インフラは何とかなりつつあるものの、顧客から「架空請求」に関するクレームがきた。調べてみると、どうも中村君の勤務先が管理している顧客情報が漏れた疑いが。ホントに中村君のところから情報が漏れたのか? そしてどこからどう情報が漏れたのか? 手を付けられるところから調べつつ、対策を検討することに……。

 データの流れを把握する!

 ぼう然とする中村君と、トラブル対応でがぜん張り切る(?)小野さん。対照的な2人ではあるが、この危機を何とかして乗り切るという目的に相違はない。中村君もぼう然としている場合ではない。気を取り直して目の前のことに集中することにした。

中村君 「取りあえず、私たちが集められる情報は集めきった感はありますが、この後どうしましょうか?」
小野さん 「ここまで集めることができたのは、ファイアウォール、プロキシ、ファイルサーバのログ、tcpdumpのログ、あとはバージョン違いの顧客情報入りファイルかぁ。うーん、これだけじゃ決め手に欠けるなぁ……」
中村君 「あ! でも、そのファイルを読む可能性がある人って限られていませんか?」
小野さん 「そうか! ウチの業務形態だと、可能性があるのは基本的に『顧客と直接やりとりする営業担当』と『請求書を送っている経理担当』しかいないことになるね。少なくとも、メンテナンスをやってる保守部門の人間がファイルを読む可能性はそれほど高くないし、読む部分も報告書に載せる必要のあるものに限定されるだろう。購買関係の担当もまずないな」

 小野さんと中村君の間にしばし沈黙が流れる。2人の頭の中はブンブン回りながらさまざまな可能性に思いを巡らせている。

中村君 「では、『誰がそれを読むか』という点に着目するとよさそうですね!」
小野さん 「そうだね。誰がそのデータを作り、誰がメンテナンスをして、誰が読み、誰が消しているのか。関係者を漏らさずリストアップしよう。それから、『データがどう読まれているか』というのも押さえたいな。紙ベースなのかディスプレイ上なのか、そのあたりもね」
中村君 「社外の人が読む可能性もあるんですよね?」
小野さん 「それは契約関係がどうなっているかによるね。うん、契約書を見れば何か分かるかもしれないな。そういったことは平山さんにお願いしよう」

 やることが見えると急に力がわいてくるものだ。小野さんはさっそく平山さんにメールを書きだした。うかつに内線電話で連絡すると関係ない人に聞こえてしまう可能性があるからだ。近い所にいてもメールの方が安全だった。念には念を入れてメールの件名(タイトル)も「先日の打ち合わせの件」とまったく内容が推測できないものにしておいた。そんな小野さんの用意周到さに中村君は少し驚きながらも心の中でつぶやいた。

中村君 「こんなふうに社内システムのドキュメントも残しておいてくれていればなあ……」

 さて、ここまでの議論から2人は、

  • 社内におけるデータの流れ
  • そのデータを読む可能性がある人

について整理してみることにした。もちろん「開発」の関係で社外に出ている情報もあるが、その部分を整理しようとすると「システム開発の契約」がどうなっているのかも絡んでくる。この部分については平山さんに「システム開発の発注先」と「当社」との間でどのような関係になっているのかを含めて整理してもらうことにする。具体的に整理するのは、

  • 業務の一環として顧客情報にアクセスする必要のある人
  • 今回問題となった「顧客情報」関連のファイルが置かれていた場所へアクセスする権限のある人
  • 顧客管理システムの開発を委託している先(A社)

になる。

 まず、最初に「開発委託先」に渡したものからチェックしてみることにした。ここで委託先に渡したとされる顧客情報が、もし「ダミーデータ」であれば、まず調査対象から除外できるからだ。ホンモノを模したデータ=ダミーデータを渡して、それを用いてテストを行うというのは、システム開発ではよく採られる方法だと勉強会で聞いたことがある。もしそういうやり方ならば、関係者を社内に限定してしまえるので都合が良い。

 メールを読んだ平山さんが会議室に現れた。机に書類の束を置く。

中村君 「開発を委託したときに、委託先に渡したものってチェックできますか?」
平山さん 「もうやったわ。CD-Rに全部入れて渡したみたいで、うちにも『これを渡した』って契約書類と一緒にCD-Rが残っていたわ。それで、中を確認したんだけど……、どうも実際の顧客情報そのものを渡したみたい。少なくとも、架空請求が届いたお客さまの情報はそっくりそのまま中に入ってたわ」

 平山さんはちょっと皮肉っぽく続ける。

平山さん 「感心なことに貸し出し品リストは詳細なものが残っていたのよね」
中村君 「意外にしっかりしてますね」
平山さん 「全然しっかりなんてしてないわよ!」

と、平山さんは書類の束の中から関連図を取り出して机の上に放り出した。ほら、と促されて小野さんと中村君がのぞき込むと、すぐに2人も平山さんのいっていることが分かった。社外の関係者はたくさんいるはずなのに、誰がかかわっているのかぜんぜん分かっていないらしい。2人はがくぜんとした。

1/5

Index
情報が漏れた! まず何をすればいいのか?
Page1
データの流れを把握する!
  Page2
誰が顧客データに触れたのか? 〜ザルな契約とその概要
  Page3
調査の障害は意外なところから〜社内にも敵?
  Page4
調査するところと調査の方針、そして方法
  Page5
そして最悪の事態に〜マスコミへの事件リーク

新にわか管理者奮闘記 バックナンバー


基礎解説記事
にわか管理者奮闘記
5分で絶対に分かるシリーズ
管理者のためのセキュリティ推進室
情報セキュリティ運用の基礎知識
Security&Trustウォッチ

連載:にわか管理者奮闘記

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH