内部からデータ漏えいがあったかは不明ですが、日本を代表する研究機関の1つ、京大iPS研究所の職員懲戒解雇処分は、日本の大学にもゼロ・トラストの思想が必要な事を示唆しています。
www.kyoto-np.co.jp
公式発表
本事案の概要は、以下のとおりです。
- 無断で教授のパソコンを操作し、教授個人宛の機密情報の記載されたメールを開封し閲覧した。
- 無断で教授の机から機密書類を持ち出し、スキャンしてデータを取得した上で、書類を返却した。
- 大学の物品であるオーブンレンジについて、購入後数カ月で不具合がないにもかかわらず、大学に無断でメーカーに処分を依頼し、処分した。
- 教授室に盗撮ビデオカメラを設置して盗撮した。盗撮に関しデータ消去を指示したが、盗撮のデータを削除せず、他の教職員もアクセス可能な共有フォルダに保存していた。
- 業務上の必要がないにもかかわらず、休日に大学のセキュリティエリアに侵入し、その際、許可なく大学生の子供も同エリアに立ち入らせた。
- 勤務時間中に、業務上必要のないメール、文書を複合機で膨大な量を印刷した。
(公式発表より引用)
キタきつねの所感
山中教授(iPS細胞研究所所長)が統括する施設であり、世界最先端の研究を行っているという事を考えると、他国のスパイ活動による可能性があります。
京大の処分発表に加え、各社の報道内容を調べてみると、気になる部分が出てきます。
(以下、想像が過分に入ります)
まずは懲戒解雇理由の部分ですが、合わせ技1本になっている気がします。これは元非常勤職員が懲戒解雇理由を一部認めてない事から、こうした内容になったのだと思われます。
京大の説明では、女性職員はメールの閲覧や機密書類の持ち出しは認めていない。機密情報の外部への流出は確認できていないという。
(京都新聞記事より引用)
別な記事にはもう少し詳しく否認点が書かれていました。
京大広報によると、女性職員の動機は不明で、職員同士のトラブルがあったかどうかなどもわかっていない。ただし、女性職員は(1)〜(5)の行為のうち、一部を否定しているという。
(1)事実を認めてない ※公式発表の上部2点
(2)廃棄したことは認めているが、「不具合がなかった」とは認めていない
(3)事実を認めている
(4)発覚した経緯が、iPS研究所の防犯カメラなので争いはない
(5)事実を認めている
(弁護士ドットコムニュース記事より引用)
共用の電子レンジの廃棄については、(解雇理由の一部としてはともかく)情報漏えいの対象範囲ではありませんので、その他の解雇理由を見ていきます。
やはり、以下の部分が一番問題だと思います。
- 無断で教授のパソコンを操作し、教授個人宛の機密情報の記載されたメールを開封し閲覧した。
- 無断で教授の机から機密書類を持ち出し、スキャンしてデータを取得した上で、書類を返却した。
ここを否認されると、「大学の秩序・風紀を乱す行為」(※朝日新聞記事より引用)程度の、違反理由でしかなく、非常勤職員という事を考えると契約打ち切り程度の内容が適切な処分だったかと思います。
しかし、教授のメール不正閲覧、機密情報のスキャンや、窃取した情報の私物ハードディスクへのコピーといった記載を考えると、元非常勤職員は不正窃取した情報を何か利用していた(スパイ行為も含め)可能性は高いと思います。
京大によると、女性は研究室で書類申請などの事務を担当。平成29年以降、教授が不在の隙に機密書類をスキャンし、自身のハードディスクに保存したほか、教授宛てのメールも無断で閲覧していた。
教授がパソコンの画面などが変わっていることを不審に思い、室内に防犯カメラを設置したところ発覚した。
(産経新聞記事より引用)
被害を受けた教授が、メールアカウントを元職員に侵害されている点に関して言えば、正直、わきが甘い気がします。
解雇理由になったビデオカメラ盗撮によってパスワードが漏えいしたのかも知れませんが、京大も他大学の多くがそうである様に、Office365を使っていますので、恐らく”IDとパスを過信し過ぎた”=多要素認証の導入がされてなかったのも、この事件の遠因だと推測します。
www.s-coop.net
元職員は、非常勤職員とある点も気になりました。
国立大学の雇用形態だと、教授室に日常的に出入りする方としては、講師や研究員も非常勤になるかと思いますが、研究者が自身のキャリアを捨ててまで実行する内容では無い気がしますし、そもそも50代女性という元職員の年代から考えると、研究員や講師である可能性は低い気がします。
例えば、教務補佐員や、事務補佐員などの職種だったのではないかと想像します(※以下、確たる根拠はありません)
例えば2017年の京大iPS細胞研究所だと、以下の様な募集がありました。
参考まで、(当時の)事務補佐員の募集内容には、研究室内でのメール対応が含まれている様でした。
余談ではありますが、同じ研究室が2019年12月にも同じ事務補佐員の募集をかけていました。当該元職員が不正を行っていたのが2017年~2019年度とされていますので、時期としては被っています。
更に余談です。大学という特性上、仕方が無い気もしますが、施設側の物理セキュリティ体についても気になりました。
業務上の必要がないにもかかわらず、休日に大学のセキュリティエリアに侵入し、その際、許可なく大学生の子供も同エリアに立ち入らせた。
世界最先端の研究が行われている、iPS細胞研究所は2010年4月に開設されています。
※下写真は文部科学省資料より引用
その設備計画を見ると、情報漏えい対策としてゾーニング+監視カメラ運用だった事が分かります。
しかし、結果として、内部からの漏えい対策に問題があった事が、今回の件で浮き彫りになった気がします。
尚、「万全を期している」・・・も言葉としては綺麗ですが、セキュリティに携わる方であればセキュリティに「万全」は無いという事はよくご承知だと思います。
※また、京大は監視カメラを設置していても監視していない(撮るだけ)事まで露呈してしまったのではないでしょうか。
共同ニュースのYouTube映像から引用しますが、2017年に第3研究棟が竣工された際の映像を見ると、建屋の入り口に非接触のR/W(左側の白い四角形)らしきものが見えます。
建物内部に別なゲートがあるのかは分かりませんが、休日に元職員が自分の息子を中に入れられた事を考えると、(少なくても休日は)このゲートを突破すると、研究室(セキュリティエリア)までたどり着けてしまうゾーニングだった事が可能性を感じます。
もしかすると、休日は警備室等を通る運用になっていたかかも知れません。(だとすると警備室運用に問題があったという事にもなりますが)
業務上の必要がないにもかかわらず、休日に大学のセキュリティエリアに侵入し、その際、許可なく大学生の子供も同エリアに立ち入らせた。
しかし本来平日しか施設に入る権限を持たせておくべきではない、非常勤職員が休日に施設に入れた事や、部外者をセキュリティエリアまで共連れできた事を考えると、IDゲート設定やゾーニングに問題があったのではないでしょうか。
IDゲート管理ソフトにもよるかと思いますが、ID毎に入室制限(休日NGや時間帯NG)をかける事は可能なはずです。
※下図は、文部科学省資料より引用
iPS細胞研究所のセキュリティエリアがどこを指すのかは分かりませんが、少なくても管理・共用ゾーン以外はゾーンレベルが1段階上がるはずです。
平日は研究者の数も多く、相互監視状態になっている事を前提としたゾーニングなのかと思いますが、休日に正規の理由なく元職員が共連れで部外者をセキュリティエリアに入れる事が出来たとするならば、ゾーンの関門(ゲート)もしくは、施設入口での制限(有人監視又は平日の録画画像チェック)に問題があったのではないでしょうか。
研究者が休日に施設に来る事は分からなくはありません。元職員が仮に事務的なサポート業務従事者だった場合、権限付与が不適切であった可能性を感じます。
京大だけでなく、日本全体で考えても、山中教授が率いるiPS細胞研究所は重要施設です。もう少し多層的なセキュリティで守るべき施設だと考え、京大(iPS細胞研究所)は、外部からの攻撃のみならず、内部からの攻撃に対してもセキュリティ体制を考え直すべきなのではないでしょうか。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
