ある経営者の日常

その日は出張ですっかり時間が遅くなってしまった。

取引先の社長から予約してもらった高級ホテルのおかげで、宿泊場所を心配することはなかった。おかげでお世話になっているその社長とゆっくり夕飯を済ますことができた。

別れを告げてホテルに向かうタクシーの中、スマホにメールが届いていた。「社長、出張お疲れ様です。新規で導入したシステムのIDを送ります。別メールにてパスワードを送っておきますので、できるだけ早くログインして、確認してください。」

ホテルの部屋に到着して、自分愛用のノートパソコンを準備。ホテルのフロントでもらったWi-Fiの接続案内のとおりにWi-Fiに接続した。早速メールを確認し、システムにログインした。システムはスマホのショートメールと連動した二段階認証だ。確認を終わらせてログアウトし、その日は眠りについた。

出張が終わり、会社に戻った一ヶ月ほど後のことだった。そろそろランチの時間だと時計を見たとき社長室にシステム担当部長が飛び込んできた。

「社長！大変です。当社の機密情報が明らかに漏れているようです。」

血の気が引いた。

「どこで情報が漏れたんだ！」

自分の言葉に対し、すかさず担当部長が衝撃のひとことを伝えてきた。

「…どうやら社長のPCから漏れたようです…」

この物語としてはフィクションですが、実際に起こった事象です。いかがでしょうか？あまりにも身近でよくある流れではないでしょうか。

情報が漏洩する前までの社長の行動に何か問題はあったでしょうか？

日常に突如出現する脅威

紹介したこの物語は実在します。2010年8月に世界を騒がせました。日本でも被害例があると言われています。「Darkhotel（ダークホテル）」という攻撃です。

仕組みとしては、比較的情報セキュリティに知識のない経営幹部が好んで泊まりそうなホテルを狙って、ホテルのネットワークに侵入し、待ち構えています。

ホテルの自室で接続するWi-Fiはすでに攻撃者の手に落ちていることになります。そのネットワークに繋いだ途端に、ホテル公式デザインがあしらわれた、ニセのインターネット接続用ソフトをインストールさせます。痕跡を残さないことはもちろんですが、その場で情報を抜くこともできますし、時限式で情報を抜くようなウィルスに感染させることも可能です。

この攻撃手法は標的型攻撃というものに分類されますが、重要なのは、サイバー攻撃というものが、ITスキルが高い者同士で行われる攻防ではないということです。

特に近年は、より高い権限を持つ経営幹部や、企業代表に対しての攻撃を行って、会社全体の重要情報を取得してしまうというものが多くなってきており、放置することで会社が提供するサービスの停滞のみならず、顧客情報漏洩から、経営情報漏洩にいたるまで、企業の存続そのものに強力な打撃を与えることもあるのです。

これを読んでいる経営者の方々は、「うちのIT部門はセキュリティが万全だから大丈夫」などと思っていませんか?

誰かや、何かの責任にしてすむような状況ではありません。そのためには、せめてどんな類の脅威が存在するのかは知っておかなければなりません。災害や脅威にもいろいろな種類があります。その災害や脅威に合わせた対策が必要です。災害を知らずして強固に守れと言われても、守り方がわかりません。守るためのコストや体制も上限がわかりません。現存する脅威をまず、知って行くことが大切です。

脅威の数々

脅威には大きく分類して、物理的、技術的、人的な脅威の3種類が存在すると定義されています。

物理的とはいわゆる天災や、破壊についての脅威です。技術的な脅威とはコンピューターウィルスやサイバー攻撃などのIT技術を利用した攻撃のことを指します。そして最後は人的脅威です。人の怠慢やミス、不正使用などで起こりうる組織的な脅威でもあります。標的型攻撃も、利用するシステムの脆弱性なども、人的脅威と言えるのではないでしょうか？昨今では、複合的に起こる脅威については少しずつ分類も難しくなってきました。

取引先との守秘義務契約による企業情報や、技術的な機密情報など、デリケートな情報を多数扱うことと思います。お客様からお預かりしている個人情報もその類です。それらの保守管理に対してのコストについて、そこまで費用をかけなくても大丈夫だろうと思っていると、思わぬところから漏れてしまうものです。

よくある事象としては、耐用年数を超えて廃棄処分にするPC等です。中に情報が残ったまま廃棄処分していませんか？誰も必要としないというのは大間違いです。データーを消さずに廃棄をしたりすると、信頼できる業者ではなかった場合、中身をそのままに販売されたり、廃棄されたりすると大変なことになります。

それは、データーをきれいに消去せず廃棄した側も、それを流出させた側も悪いのですが、まさに人的脅威となります。廃棄した側は漏洩を意図したわけではありません。ただ、脅威を知らなかったか、気づかなかったということだと考えられます。

こういった情報を抜き出すような脅威は意図せず起きてしまう事象だけではなく、意図して情報の転売を目的としたものや、さらに重要な情報を盗み出すための準備の場合もあるかもしれません。

外部の誰かが作為的にやったこと以外に、もっと簡単に犯行に及ぶことができるものもいます。いわゆる内部の人間の不正行為です。あまり考えたく有りませんが、解雇される本人の逆恨みや、業務上の逆恨みなど原因はいろいろです。

不正を行うには起こりやすくなる原因があると言われています。その理論の要素は「動機」と「機会」と「正当化」です。この3つを「不正のトライアングル」といいます。

「動機」は本人が不正を働くための動機です。情報を転売することによって金銭を受け取ることができた場合、本人が金銭的に困窮していれば充分に動機となりえます。その他業務上のミスを隠蔽したい、業務として無理な依頼をされている、復讐心など、あらゆることが動機となりえます。

そして次の要素が「機会」です。重要な機密情報を入手するにはそれなりの権限もいります。または権限のあるものの信頼があれば、情報の廃棄処理を依頼されるかもしれません。あらゆる状況の中でその情報を入手できるということは重要な不正の要素でもあります。

最後の3つ目の要素は「正当化」です。人の心には正義感や良心があります。自分が行うことが不正であることを認識しつつ実行するには、倫理観の欠如を自発的に促すなどの不正を正当化する必要があると考えられます。

そんな不正を正当化することはできるのか？ということですが、実は意外にそういった心理状態を作ることが可能です。「ちょっと情報は借りるだけ」や「この組織は不正を行っているから情報は正義のために必要だ」や、「彼もやったことがあるのだから自分もできるだろう」などです。

どれもこれも、そういった問題ではないだろうという考え方ですが、正当だと自分に言い聞かせるのは意外に容易にできてしまったりします。

これらをなぜトライアングルというのかというと、3つの要素のうちどれか一つが欠けた状態でも不正を実現するのは難しくなるということからです。

社内システムのセキュリティも非常に重要ですが、システムに大きな費用を投じる前にも、組織の環境を整えることはセキュリティという観点から見てとても重要だということがおわかりいただけたかと思います。

加えて、ITセキュリティの技術側面から見たときに話題となる情報も、ある程度知識として持っておくことはとても重要です。エンジニアにしかわからないような難しいことではなく、振る舞いを知っておくということです。

マルウェアとは

PCに感染したり侵入したりして悪さをするプログラムをマルウェアといいますが、そういったプログラムやウィルスなどの振る舞いを知っておくことでも被害を防ぐための策を考えることが可能となりますし、セキュリティにコストをかける際にも、よくわからないところに莫大な費用をかけてしまうようなことは防げます。

近年、世界的に大騒ぎになったコロナウィルスでも、DNA構造や増殖システムなど、医学的、遺伝学的なことを知らなくても、振る舞いを知ればある程度、策を講じる事ができる事とよく似ています。

マルウェアという悪意のあるソフトウェアの中でも、比較的ダメージが大きいと言われているランサムウェアというものが世界を騒がし続けています。ランサムウェアはシステムの脆いところ（脆弱性）や注意のスキをついてプログラムが入り込み、PCを人質に取ります。そして内部にあるデーターを暗号化してしまいます。身代金を払わなければそれらのデーターを全部削除してしまうという脅迫メッセージの画面が出てPCを操作できなくしてしまいます。

多くの場合お金を支払っても復旧できません。さらにネットワークを介して他のPCにも入り込みます。日頃利用している情報ファイルや、データーのバックアップがなければ被害は甚大です。

これらはなりすましたメールに添付されたファイルや、リンクのクリックにより感染します。リンクをクリックするだけで感染するということは、Webサイトに訪れても感染しうる可能性があるということです。その他、あまり有名ではないフリーソフトのダウンロードや、ファイルをUSBメモリから転送しようとして感染することもあります。

メールのリンクも巧妙です。「先日はお世話になりました」などのタイトルでメールが飛んできます。または、「ご利用になっているサービスのアカウントが不正です」など、日頃慣れ親しんだようなメールのタイトルや、緊急で確認が必要だというようなタイトルのメールが飛んできます。慌てて確認せずクリックすると感染する可能性があるのです。

どんな準備がいるのか

こういった対策には日頃のどんな準備が必要なのでしょうか？

まず重要なのは利用しているソフトウェアやシステムのアップデートです。アップデートはマメに行いましょう。次に重要なのはウィルス対策ソフトです。このウィルス対策ソフトも前述と同じようにアップデートは欠かさないようにしてください。

今回紹介したランサムウェア攻撃の防御策として重要なのはバックアップでしょう。何らかの理由で、ハードウェアが壊滅したときでもバックアップが重要な役割を担うでしょう。

いろいろな脅威がある中で、他人事かと思っている脅威が実はとても身近にあることがおわかりいただけたと思います。「難しいことは分からないが、どういった脅威かは知っている」という状態にあることはとても重要です。

あらゆる情報がデジタルで管理されて行く中で、狙う側もいろいろと巧妙な罠を仕掛けてきます。そして、そこに対応できなかったばっかりに、企業の存続そのものが危うくなるということはいくらでもある、まさに今そこにある脅威です。

そして、その対策のために自分自身の知識を増やすこと、セキュリティに費用をかけることは損失なのでしょうか？

筆者はそうは思いません。家のドアに鍵をつけるコストは損失でしょうか？

今の時代では、全く当たり前のことではないでしょうか？デジタル情報を格納しているモノに鍵を用意する。それは損失ではなく必須の投資だという意識をお持ちいただきたいと思います。

そのためにはまず知ることから意識することを始めてみましょう。すでにセキュリティに向き合っている方は、今一度、働いているみなさんも同じ意識になっているのかをご確認いただけたらと思います。