Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

SNS経由の情報漏えいも監視できるのか?

あまり大きな記事ではありませんが、奈良の入札情報漏えい事件の記事が気になりました。

www.iza.ne.jp

 奈良県葛城市発注の道路改良工事の入札情報漏えい事件で、官製談合防止法違反の疑いで逮捕された同市建設課課長補佐、福井敏秀容疑者(49)が、公競売入札妨害の疑いで再逮捕された建設会社「栄和建設」の元役員茅野泰幸容疑者(48)に、無料通話アプリLINE(ライン)で入札資料の画像を送っていたとみられることが14日、捜査関係者への取材で分かった。

産経デジタル記事より引用)

 

◆キタきつねの所感

社内メールを内部から監視する、多くの企業がこうした内部漏洩対策を実施しているかと思います。ですが、SNS経由で情報は外部に漏洩する時代になりつつあるようです。企業・組織側から考えると・・・こうした内部漏洩は取り締まるのが非常に難しいかも知れません。

内部からの意図的な情報発信(情報漏えい)が、私用携帯で行われた場合、企業・組織側には防ぐ術はあるのでしょうか?

多くの企業・組織は、残念ながら性善説を前提とした体制を構築しており、社用メールなど、企業サーバを情報が通過するものについては技術的に監視することが可能ですが、私用端末となると、SNSの監視は技術的に難しいのではないでしょうか?

 

この問題は、BYOD(私物端末)問題の一部と言えるかと思いますが、データセンターでも無い一般オフィス環境では、、なかなか私物端末を持込ませないという手段はとりづらいかも知れません。ですが、私物スマホのカメラ・・・こうしたリスクを軽減する為には、例えばカメラのレンズを塞ぐことを徹底するか、端末の持込み制限(私物ロッカー)をセキュアゾーンで実施するしか、実効性を持って防ぐのは難しいのではないかと思います。

 

SNSを使った情報漏えい、、、その対策を考える上で、性善説ではなく、性悪説あるいは、性弱説に基づいたセキュリティ体制の構築を、日本企業は考える時期に来ているとも言えます。

 

とは言え、予算(お金)の無い企業・組織もあるかと思います。その際は「教育」が次善策ではないでしょうか。それすら実施しない企業・組織は、内部漏洩のリスクが残存している、そう考えた方が良いかと思います。

 

 

悪い噂を流す人のイラスト

 

更新履歴

  • 2018年9月17日PM(予約投稿)