ブロードリンク社の事件後リリースが出ていました。事件を受けての対策部分はセキュリティ担当の方にとって参考になりそうです。
www.sankeibiz.jp
公式発表(3/26)
神奈川県の行政文書を保存したハードディスク(HDD)がインターネットオークションを通じて流出した事件で、廃棄処理を請け負った情報機器会社「ブロードリンク」(東京都中央区)は26日、元社員が同社から盗みオークションサイトに出品したHDDなどの記憶媒体3904個のうち同社が回収できたのは29個にとどまったと発表した。
事件をめぐっては元社員の高橋雄一被告(51)が窃盗容疑で逮捕、起訴され公判中。同社が回収したもののほか、神奈川県分の18個を含む計36個のHDDを警視庁が押収したが、出品された記憶媒体の98%超が未回収のままとなっている。
(SankeiBiz記事より引用)
キタきつねの所感
転売されてしまったHDやSSDはよほどの事がなければ回収できない。警察の捜査による協力依頼(主に神奈川県案件)を別にすれば、回収率は1.2%です。大きな注目を浴びた事件でもこの程度ですので、市場(オークション等)に出回るとほぼ回収できない事がよく分かります。
セキュリティの重要な考え方の1つに「シフトレフト」がありますが、ブロードリンク社はこの言葉の重みを実感しているのかと思います。
事件対策が下流だとすれば、もっと上流の部分(セキュリティ対策、教育、監査)で内部犯行リスクをきちんと考えていれば、現在の状況までは至ってないのではないでしょうか。
そう考えていくと、内部の従業員を正とする性善説による業務運用の隙を突かれたのが、この事件なのだと思います。
今回対策に挙げられている手荷物検査は、パートやアルバイトには実施していたとされていますが、正社員は勤務時間がバラバラという事でほとんど実施されていなかった様です。この部分が正社員まできちんと運用されていれば、あるいは被害を未然に防げた/被害範囲を極小化できたと思います。
※週1-2回の抜き打ち検査が実施されていたと記者会見では説明されていましたが、実施記録を残してなかった様ですので、個人的にはほぼ実施してなかった、又は形式的なものだったと考えます。
ブロードリンク社の公式発表には一切出てきませんが、元従業員のヤフオクの落札履歴を見ると、スマホのアダプタや純正イヤホン等も相当数出品されていた事がわかります。これらは元従業員がブロードリンク社に入社(2016年2月)の後、2016年4月から突然落札履歴に出てきます。
(以下推測となります)
個人情報等が記録された媒体ではありませんが、こうした備品も廃棄物としてブロードリンク社が取り扱っていた可能性がある気がします。そしてそれを元従業員が気軽に持ち出せる環境にあったのではないかと推測します。(手集計では1000件以上のイヤホン、ACアダプタの落札がありました)
ブロードリンク社からの情報漏えい事件を調べてみた - フォックスエスタ
余談です。今回の追加報告書面(PDF)の最後に、事件の経緯や段階的に実施している対策部分のページが紹介されています。
※ブロードリンク社の再発防止策については、セキュリティ関係の方は一読の価値があると思います。
www.broadlink.co.jp
正直に言えば、事件当時も含めブロードリンク社がセキュリティをまったく考慮しないでビジネスを行っていたとは思いません。むしろ一般的な企業より何重にもセキュリティ対策を実施していたかと思います。
では何が足りなかったのかと考えると「効果検証」、PDCAで言えば「Check」です。
事件を受けて、ブロードリンク社内の安全品質委員会の指摘を受けて体制強化が図られている様ですが、対策の中身を読む限り、原因判断も的確ですし、対策内容もよく感がられていて、多層防御の考えからも穴は少ないという印象です。
しかし、何点か違和感がありました。1つ目がまさにその、安全品質委員会です。
構成を見る限り「内部だけ」です。事件が発生する前であればともかく、事件を受けてですので、外部の有識者をオブザーバーで入れた方が良い気がします。(※自社セキュリティ体制の機密情報を取り扱う可能性もあるので入れたくないのかも知れませんが)
また、(ブロードリンク社の場合は、知見のある方なのでしょうから的外れな指摘かも知れませんが)営業やマーケティング部門の管理職を入れて安全や品質が向上するかは疑問です。
次にひっかかったのが監視カメラです。
■再発防止策(第二弾)
この対策が入った事で改めて「元従業員はカメラの死角を突いて犯行に及んでいた」事が分かります。
「合計64台の監視カメラ体制で365日24時間映像を記録し、入退出ログと連動する形でチェックを実施しています。」
書かれていますが、ここでの疑問は本当に24時間監視しているのでしょうか?
というのは、監視カメラは映像記録だけされている記述になっていて、常駐で(例えば警備員が)映像を確認している様に書かれていないからです。
週次では突合チェックをする様ですが、この記述だと、入出権限がある人かどうかしかチェックしてない気がします。(持ち出しだけ重点的に映像確認するのかも知れませんが・・・)
※正規の入室権限を持つ内部犯行者に対しては、持ち物チェックだけが関門になる様な対策の書かれ方がしている気がします。
対策の表示順番が前後しますが、金属探知運用については、相当強化されている様です。有人警備担当(警備会社なのかが気になりますが)も常駐させる様ですので、ここでのリスクはかなり抑えられるかと思います。
では何故、関門(持ち物検査)の部分について、ひっかかるのかと言うと、対策後が、以下のセキュリティゾーニングになっているからです。
■再発防止策(第1弾)
建屋の構造上、通路を挟んでしまうのは仕方が無いのかも知れませんが、そもそもこのマップ(ゾーニング)になっている事がおかしい気がします。
少し考えてみて、何が自分の中でひっかかったのかが分かりました。作業場所の方に上記の警備員と金属探知機があるのは分かりますし、大きな問題はないかと思います。
しかし、何故、事務所エリアで”持ち物検査をする”必要があるのでしょうか?
HDD/SSDの破壊作業は左の「作業場所」エリアで実施されているのだとすれば、「事務所」エリアには機密性が高いHDD/SSD等の媒体は無い事になります。(であるなら、一般的にはセキュリティレベルは低くても良いはずです)
何を警戒して「退勤荷物検査エリア」が設けられているのでしょうか?
(以下推測となります)
もしかすると運用上の理由で、HDD/SSD等の媒体が「作業場所」エリアから「事務所」エリアに移動する運用があるのではないでしょうか?
例えば登録作業や、顧客への破壊写真の送付作業・・・
元従業員がロッカーに不正に持ち出したHDD等の媒体をロッカーに隠していたとされていますので、そこを警戒しての予防的運用なのかも知れませんが、そもそも「作業場所」エリアを金属探知機運用にしたのであれば、事務所エリアに媒体は持ち込まれないはず・・・です。
また、「作業場所」エリアと「事務所」エリアの間には通路(セキュリティレベル低い=外に出られてしまう場所)がありますので、もし機密性の高い媒体が動くのであれば、「作業場所」エリアと、通路と、「事務所」エリアをどうセキュアに媒体を移動させるのか、という対策が不十分な気がします。
更に気になったのが、事務所エリアの手荷物検査は、金属探知機が使われる訳ではないという点です。テーマパーク等にある簡易検査ですので、仮に「事務所」エリアに機密性の高い媒体がある場合は、この検査を潜り抜けて外部に媒体が流出する可能性が残っている気がします。
繰り返しになりますが、ブロードリンク社の多層防御は、事件時に比べて相当強化されていますし、これらの懸念事項がすぐに高脅威になる訳ではありません。
しかし(内部犯行を想定した)リスクアセスメントに失敗したからこそ、事件が起きてしまったとも考えられる訳ですから、もう少し内部犯行視点で穴が無いかを検証した方が良いのではないでしょうか。
余談の余談です。廃棄を依頼する側もきちんとリスト管理すべきであるというこの運用はいいなと思いました。(神奈川県さん、あなたですよ)
リスト化できない場合は(オプションで)機器リスト作成支援も行うと書かれていましたが、入り(依頼側)と出(廃棄受託側)双方の管理、依頼側にも責任があるという(責任分解の)この考えは素晴らしいと思います。
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴
