Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

MI6の重要書類管理

つぶやいてみた。 海外事件

英国のSUNが元ソースなので、本当かなぁと思って記事を読んでたのですが、CNNやその他のソースも同じ内容で報じていたので、やはりMI6の重要機密(の一部)が漏えいしたと考えて良さそうです。

www.cnn.co.jp

 

 英情報機関・対外情報部(MI6)の改装工事中の本部ビルから、重要文書が「消えた」ことが明らかになった。英メディアが27日報じた。人気映画「007」シリーズで主人公ジェームズ・ボンドが所属していることで知られるMI6は、スパイ映画さながらの緊急事態に直面している。

 報道によると、文書は本部ビルの間取り図や警報装置の位置などを示したもの。安全な部屋で保管され、限られた人数しかアクセスできないはずだったが、数週間前に100枚以上の文書を紛失した。その後多くが本部ビル内部で回収されたが、一部はいまだに行方不明だという。

 大衆紙「サン」は「情報機関幹部は、文書が敵の手には落ちていないと自信を持っているようだ」と指摘する一方、「こんな大事な文書をなくすなんて甚だしく無責任だ」との関係者の声を伝えた。

 文書は「トップシークレット(極秘)」などの機密指定を受けていなかった。MI6はこれを受け、改装工事を請け負っていた英建設大手バルフォア・ビーティーとの契約を解除したという。

(CNN記事より引用)

 

 

◆キタきつねの所感

映画「007」シリーズでもこのMI6の入るビルは何度も登場していますが、ジェームズボンドも自組織の重要情報がこんなに簡単に漏えいするとは思ってなかったと思います。

最初このニュースを報じたのはTHE SUN。英国最大のタブロイド紙です。日本で言うと夕刊フジ日刊ゲンダイの様な、少し刺激的なタイトルが表紙に出る(ある意味ガサネタもありえる)事もあるので、その類かと思ったのですが、どうやら本当のスクープ記事だった様です。

 ザ・サン - Wikipedia

 

THE SUNの元記事は以下の様です。記事はCNNの概要記事より中身があります。

www.thesun.co.uk

 

秘密文書は、英国の秘密情報局(SIS)(MI6として知られています)の本部での作業中、安全な部屋に保管されていたはずです。アクセスは、改修を監督する少数の監督者に限定されていたと言われています。しかし、アラームは2週間前に発生し、いくつかのジェームズボンド映画で取り上げられ、Spectreで「破壊」された書類の山が建物で消えました

ある情報筋は次のように述べています。「建物全体が閉鎖状態になり、すべての建設作業員が隔離されました。
「このような機密文書を紛失することは非常に無責任です。」
「彼らは建物のレイアウト、特にアラームやその他のセキュリティ対策がどこにあるかを示しました。文書は、敵のエージェントやテロリストにとっては金粉になります。」

(中略)

多くは後に南ロンドンのヴォクソールクロスの建物内で発見されました。

スパイマスターは敵の手にいないと自信を持っていると言われていますが、行方不明者もいます。

ただし、Balfour Beattyの契約を終了する決定が下されました

情報筋によると、「多くの仕事は下請けであり、約40人の労働者が仕事をしていました。セキュリティは信じられないほど厳しかったはずです。材料を配達する労働者と車両は徹底的に検索されました。セキュリティの重要性は請負業者に打ち込まれましたが、明らかに乗船していませんでした。」

(中略)

中国とロシアのエージェントは、1994年にオープンしたMI6ビルを監視していることが知られています。先週、政府が特定の犯罪とすることを提案したスパイの脅威が強調されました

(The Sun記事より引用)※機械翻訳

 

情報機関としては中々の「失態」と言えるかも知れません。この事例は、セキュリティ教材を作る上で色々な示唆がある気がしますので、演習シナリオを作る観点で考えてみたいと思います。

 

最初に挙げたいポイントが、外注(サードパーティ)管理です。

契約を打ち切られたBalfour Beattyは大手の建設会社の様です。ホームページを見ても、国際的にも大きな建設プロジェクトをしている事がわかります。創業110年の大手建設会社、委託先としては問題がなさそうに思いますが、、ニュースリリースを見ても今回の事件について触れられている発表はありません。また、これは建設会社としては普通な気もしますが、セキュリティ体制についてホームページ上での記載は見出せませんでした。

https://www.balfourbeatty.com/

 

次にポイントとして挙げたいのが、重要書類の保管管理体制です。

秘密文書は、英国の秘密情報局(SIS)(MI6として知られています)の本部での作業中、安全な部屋に保管されていたはずです。アクセスは、改修を監督する少数の監督者に限定されていたと言われています。しかし、アラームは2週間前に発生し、いくつかのジェームズボンド映画で取り上げられ、Spectreで「破壊」された書類の山が建物で消えました。

(中略)

多くは後に南ロンドンのヴォクソールクロスの建物内で発見されました。

(The Sun記事より引用)※機械翻訳

 

以下、過分に想像が入りますが、安全な部屋に保管されていたはず」このはず・・・に記事の反意を感じます。英語の原文では、こんな表現になっています。

The secret documents were ­supposed to have been kept in a secure room during work at the HQ of the UK’s Secret Intelligence Service (SIS) — better known as MI6.

 

「安全な部屋で保管されてなかったから、漏えいしたんだろ?」という記者さんの想いが感じられます。(be + supposed~ は「すべきであった」と訳した方が良いのかも知れません)

また、2週間前に事件が発覚していて、まだ全ての書類が見つかってない・・・ここに安全な部屋でなく、段ボールにでも突っ込まれて、建設業者に作業の邪魔だから持ち出されたという事なのだと思われますが、英国情報機関の「機密書類」が、いくら改装工事中だからと言って、その様な管理をされたのは、いくつかの問題が潜んでいたのは間違いありません。その1つは、記事にもありました。

論文は分類されませんでしたが、その内容のために非常に敏感であるとみなされました。

(The papers were not classified, but were deemed to be highly ­sensitive due to their content.)

少し分かりにくいですが、紛失した文書は、機密性の分類がされてなかった事が書かれています。「極秘」「丸秘」といった分類がされてなかったとしたら、この点はMI6側の管理手順違反があった可能性が高いかと思います。だとすれば、工事前は施錠されて入室制限がある部屋に保管されていて、そのミスが問題になる事は無かったのが、工事業者関係者が安全な部屋から、安全でない場所に(一時的にせいよ)書類が移動させたとすれば、機密書類では要求されている事が多い、職員の同行も不要とされていた可能性を感じます。

とは言え、MI6側が業者との契約を打ち切りをすぐに決めた事から考えると(その後の訴訟リスクを想像すると)、工事業者側が明確に指示を受けてない安全でない場所に(勝手に)書類を移動した事も大きな問題だったのだと思います。

 

次は、人的(サードパーティ)管理です。

情報筋によると、「多くの仕事は下請けであり、約40人の労働者が仕事をしていましたセキュリティは信じられないほど厳しかったはずです。材料を配達する労働者と車両は徹底的に検索されました。セキュリティの重要性は請負業者に打ち込まれましたが、明らかに乗船していませんでした。

(The Sun記事より引用)※機械翻訳

 

建設の仕事ですので、Balfour Beatty社が多くの下請け会社を使う事は普通だったかと思います。しかし、彼らを監督(教育)すべきだったのはBalfour Beatty社であり、この書類紛失に関しては下請けの管理に何らかのミスがあったのは間違いありません。でなければ、「安全でない場所に何故か機密書類が移動する」事は無かったかと思います。

一方で、MI6側のセキュリティ上で出入り口(持ち出し)管理がしっかりしていた事が伺えます。書類やスマートフォンやカメラ等の機器がここでひっかかる様になっていれば、建物から重要書類が出なかった事になるのかと思いますが、厳重なチェック体制に穴があった場合には、例えばスマホで機密資料を撮影されただけで情報が外部に漏えいしてしまった可能性があります。

下請け会社に所属する約40人の労働者の素性は分かりませんが、仮に今回の事件がスパイ活動として分業制だった場合、意図的に安全でない場所に書類を移動する労働者が1人居て、その書類を連携してカメラ撮影する内部協力者(別なスパイ)がいれば、、、情報持ち出しは成功します。今回の事件が、国家の支援を受けた「意図的な行動」であれば、そうした想像も必ずしもあり得なくはないのです。

 

一方で、さすが情報機関だと思う事後対応も書かれていました。

ある情報筋は次のように述べています。「建物全体が閉鎖状態になり、すべての建設作業員が隔離されました。」

(The Sun記事より引用)※機械翻訳

英語では「LockDown」と表現されていましたが、緊急事態に全ての関係者の施設内に「閉じ込める」対応をした事を示唆しています。こうした対応は情報機関として当たり前なのかも知れませんが、インシデント対応の1手法として参考になるかも知れません。(とは言え・・・書類はまだ全部が見つかった訳ではないのですが)

 

今回の件が、重要情報の漏えいにまだ繋がるかどうかは、まだ分かりませんが、MI6であっても臨時対応時のセキュリティ管理を失敗する時がある、そうした考えで自社・自組織のセキュリティ管理もよく考えておくべきなのかと思います。

 

 

本年も多くのご来訪ありがとうございました。よいお年を。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 スパイのイラスト

 

更新履歴

  • 2019年12月30日AM(予約投稿)