 |
第2回 情報が漏れた! まず何をすればいいのか?
| 根津 研介 園田 道夫 宮本 久仁男 2004/12/23 |
|
 |
誰が顧客データに触れたのか?〜ザルな契約とその概要 |
がくぜんとした2人の表情を見て、平山さんはさらに別のコピーを取り出した。開発委託先の名刺のコピーのようだ。
| 平山さん | 「初回の顔合わせのときの名刺のコピーよ。担当していた松田さんにそれとなく聞いたら、先方の構成人員の名前ってこれしか知らないらしいの」 |
| 中村君 | 「えっ、マジですか?」 |
| 平山さん | 「書類という書類をかき集めて、全部洗い出したわ。ほかに名前が唯一、載っていたのは契約書だけなの。しかも、相手の社長の名前だけよ」 |
驚愕(きょうがく)の事実だった。さらに平山さんは印刷されたメールを取り出した。担当者の松田さんあてに、開発委託先の技術者らしき人間から来た質問のメールだった。相手先の技術者の名前が書かれている。
| 平山さん | 「書類以外では、これだけしかないの。図にまとめてみたけど、歯抜けもいいところよ」 |
図に付記された契約内容は平山さんがまとめた概略らしい。平山さん、さすがにウルトラ仕事が素早い。しかし、平山さんが指摘している問題点は重大だった。
まず、契約内容に記載があるのは、
- 「システム開発は、製造請負として行う」
- 「システム開発の参考のため、実際の顧客情報を提供する」
- 「顧客情報を参照するのは、実際の開発に携わるメンバーに限定する」
というものだ。誰がそのプロジェクトに従事したのかひと言も書かれていない。もう1つ小野さんが問題点を指摘した。
| 小野さん | 「開発の再委託に際しての情報開示について、制限事項が一切書かれていないなあ」 |
システム関連の業界では受託業務の再委託は普通に行われているらしい。しかし、この契約にはその再委託を行うときの契約上の縛りについて書かれていないというのだ。製造請負契約ということで、基本的にこちらからは必要な情報を渡し、相手からは納品物を受け取るのだが、渡す情報に関連して機密保持契約を別途結んでおかなければならないはずなのに、何もしていないのだ。
さらに悪いことに、契約違反に関する罰則規定には契約破棄と開発費用に関する記述しかない。そもそも機密保持という観点がすっぽり抜け落ちてしまっているザルな契約なのだから、どうあがいても罰則を適用しようがないのだ。
| 平山さん | 「わたしが目を光らせていたらこんな契約は絶対させなかったんだけど。本当にひどいわね」 |
契約書のコピーを見ていた小野さんが、さらに気付いた。
| 小野さん | 「うーん。もしかするとプロジェクトにかかわる情報のやりとりについての取り決めって、全然ないのかな?」 |
| 平山さん | 「あ、それもないですね」 |
| 中村君 | 「こうなると、担当の人経由で聞き出すしかないんですかねえ」 |
| 平山さん | 「担当は松田さんなんだけど、どうも頼りないのよね」 |
頼りなくてもここはやはりちゃんと聞き出してもらうしかない。しかし、そうするといずれにしても社外に今回の件を知られることになる。少なくとも委託先にはちゃんと相談して、原因をはっきりさせる手伝いをしてもらわないとならない。こちらが相手のことをほとんど把握できていないのであれば、相手の協力は必須だからだ。
| 小野さん | 「こりゃあ、会社対会社の問題になるだろうし、偉い人から話をつけてもらうしかないな」 |
| 中村君 | 「久保部長は出張なんですよね。この出張はどうしても外せないっておっしゃってました。日帰りみたいですけど」 |
ここまでの調査は極秘裏に事を進めてこれたが、どうやら、そろそろ表ざたにしなければならないところにきたようだ。そうすると、久保部長が進めているはずの広報との調整の話がどこまで進んでいるかも重要になってくる。だが、そこまでフォローしている余力はない。小野さん、中村君、平山さんの現場チームは、さらにデータのまとめを進めなければならない。
●顧客情報に触れた可能性があるメンバーのチェック(1)
現状で集めた情報から、漏えいした顧客情報に触れた可能性のあるメンバーを、社内と社外についてそれぞれチェックする必要がある。そこで、次にスクリーニングを行うことにした。
社内:
|
社外:
|
社外については、これ以上は単独では手を付けられない。取りあえず平山さんが担当の松田さんにメールを書き、相手先の情報を聞き出してもらうことにした。社内は確認しなければならない項目がやたらと多い。まずは漏えいしたとされる情報に触れたという痕跡だけを洗い出してみることにした。とはいえ、どこから手を付けるべきか……。
そのとき会議室の扉をノックする音がして、猛烈な勢いで作業をしている3人はびくっとした。久保部長はまだ戻っていないハズだ。いったい誰だろう?
 |
2/5
|
 |
| Index | |
| 情報が漏れた! まず何をすればいいのか? | |
| Page1 データの流れを把握する! |
|
 |
Page2 誰が顧客データに触れたのか? 〜ザルな契約とその概要 |
| Page3 調査の障害は意外なところから〜社内にも敵? |
|
| Page4 調査するところと調査の方針、そして方法 |
|
| Page5 そして最悪の事態に〜マスコミへの事件リーク |
|
| 基礎解説記事 | |
| にわか管理者奮闘記 | |
| 5分で絶対に分かるシリーズ | |
| 管理者のためのセキュリティ推進室 | |
| 情報セキュリティ運用の基礎知識 | |
| Security&Trustウォッチ |
 |
連載:にわか管理者奮闘記 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
