その認識は大丈夫か?...システム担当者より詳しい社員が隠れてる

  • 投稿日:
  • by
  • カテゴリ:

 システムに関わる部署にいるとよくわかるんですが、案外経営者やシステム部署の上司がもってる間違った認識。

 それは「専門部署以外に詳しい人はいない」という思い込み。

 システム部署に詳しいのは集めているから、他の部署は素人ばかり...まぁ実際そういうこともあるわけですが、その中には「隠れた詳しい人」がいる可能性があります。仮面玄人とでもいうか(笑)

 

今回はセキュリティの話です。いろいろぼかして書いてありますので「その手口じゃ無理だろ」と突っ込まれても困ります。そんな事例があったんだ...と雰囲気だけ伝わればOKということでご了承ください。

 

 わかる人は「ああ、いるね確かに」と思うでしょう。

 逆に「システム部署だから何でも詳しい」というのもありがちな思い込みです。システムやらインフラやら端末やらとこれだけ専門化してしまうと...一人で全部わかるわけがない(笑)

 システム設計がわかるからといってネットワークトラブルの解決法がわかるわけでもないんですけれどね。

 今回の話はその反対。

 まさかその人がそんなに詳しいとは...というのはありがちな話なんですが、これを把握しておかないと時に「危険」なことになったりします。セキュリティ的には特に危険。

 この詳しいというレベルも千差万別ですが、小さな会社ですと「詳しい人が入ってきたのでその人にシステム系を任せることにした」なんてのはありがちな話です。では、その人がもっと大きな会社に入ってきて、ごく普通の部署に配属されたとしたら?

 小さな会社のシステムやセキュリテイ対策を任されてこなせてしまう知識とスキルを持つ人が、ごくごく普通に事務職や営業として働いていたら?

 どこにでもある風景ですが、セキュリティ面から見たらとんでもなく危険な状態ともいえます。

 その人たちが専門職であるシステム部署より詳しくない保障なんてどこにもないんですから。

 専門部署があるとはいえ、大きな会社ではスキルはそんなに高くない人たちがけっこう配属されているものです(中途採用でスキルや経験のある人を補充はするでしょうが、日本の企業は生え抜きを好むため趣味でやってたとかでないとまず素人で配属されてから勉強することになります)。

 上司もまたそんなに詳しくない...となると、売り込んでくる業者やディストリビューターと相談しつつアウトソーシングしてさまざまな施策を打っていくことになります。ネットワークやセキュリティ等もそう。基本は外部任せ。

 そうして築かれた土台をシステム担当者たちがマニュアルに従って運営していく。これは日本の企業ではよく見られる光景です。が、逆に言えば趣味で得た知識で武装したモラルの低い社員がいたならば...せっかくのりセキュリティはもろくも崩れ去ります。

 

 仮定の話ですが...ひとつの事例として。

 とある企業...konozama社としましょうか。

 USBの封印をし、ネットワークに監視システムも入っている。セキュリティに関してはベンダーと共に最新とはいかないまでもそれなりのシステムを構築し、運用もしっかりやっている。

 普通に考えれば問題ないレベル。

 そんな会社の営業部にいる一人の男が「スキルや知識があることを隠して」いたとします。

 システム部の知らないセキュリティの穴をついて、情報を持ち出せるだけのスキルがあったとしたら...

 そんな状況下で営業部の部長にだけ与えられた権限がありました。

 パスワードは管理職のみしか知らないはずで、法人顧客の個人情報にアクセス出来る権限が与えられていた...

 しかしその部長、パソコンにうとく

 部下のAに操作を教えてくれと頼むことしきり。しまいにはパソコンを明け渡して作業させたり。

 このAがパソコン小僧あがり(この言い方も古いですが)で、実は相当にスキルの高い男。ゲームのコピーが趣味で、ネットワークの知識もそれなりにある。けれど職場ではいまいちPCは苦手だと見られていました。

 理由は...エクセルやワードの使い方に詳しくないため。ありがちなんですがPCに詳しい=エクセルやワードにも精通しているという誤認識が結構あるものなのです。実際は事務の人の方が詳しく、本気で詳しい人はそもそもMSのOFFICEを使ってなかったりしますので、判断材料にはまったくならないんですけれど。

 なんにせよ彼は「PCには詳しくない、ただの営業」と思われていました。それは退職するまで変わらない認識。

 

 まして本人詳しくない風を装われては。

 

 誰も彼のことを疑いはしません。

 Aは上司のPCのパスワードは教えられていませんでしたが、タイプする指を何度も見ているうちに把握してしまいます。

 そして上司がいないときにPCをいじっていても「ああまた何か頼まれたんだな」としか同僚には思われなかった。

 この会社のセキュリティでは「新たなソフトをインストールする」と警告が出るようになっていました。また、「USBに何かハードを取り付ける」と担当部署にて警告が出て、すみやかに電話で注意が来るようになっていました(PC上にもポップアップで警告が出る)。

 けれど。

 

 ブラウザのアドインには無防備だった...

 

 ブラウザ経由で動くリモートデスクトップソフトを使って外部PCを操作。顧客情報を圧縮(一般に使われているものではないものをあえて使用。相当マイナーなもの)、そのあとバイナりからテキストへの変換をしてから相手先PCのファイルにぺたり。

 パケット監視はしていますが、基本的にログをとっているだけでした。問題があったら追跡できる環境であれば規定上問題なかったのが災いします。情報はすでにこの時点で外に出てしまっているのですから。しかも、一度テキスト変換をかけられているため、どんなデータが出たのかは解析に時間がかかります。

 ましていまどきの会社はこんな低速回線のパソコン通信時代の技術なんて忘れてるか知らない人たちが多かったりしますし(そうでない会社ではばっちりこの辺りの解析技術も商品に盛り込んでいますが)。

 あるいは、同期の飲み会で当のシステム部署の人間が「うちのシステムには実は穴があってさぁ」なんてしゃべっちゃうこともままあったりします。内輪でしかも同じ会社の人間ですからついつい緩む口と心。これも加わるとさらに状況は煮詰まっていきます。

 

 とうとう監視ソフトの穴をぬって顧客情報は外部へと流出。彼はまんまと退職し、情報を盗んだこともその時点でもばれていなかった...

 

 

 そんな映画のような...と思うかもしれませんが、私の経験上実際にあった話でこれに近いものがありました。

 手口を公開する気はないので詳しくは書いていませんし上の例でもいくつかの部分がすっぽり抜け落ちていますが、実際にはもっと巧妙な手段を使っていました。露見したのは監視ソフトのお手柄ではなく、同僚の営業マンの視線。

 実はその同僚もまた「隠れた詳しい男」だったという(笑)。

 上司がいないのにやけにAが長時間上司のPCで作業している。頼まれた作業をしているわりには「アウトプット」がない。書類なら自分の机でやればいいはず...不審に思い、話しかけるふりをして画面を確認し...

「この画面...おかしい。業務でこんなことをするわけがない」

 どうもおかしいと判断、担当部署に自ら「カミングアウト」して捜査(すでに刑事事件になると判断して相談していたので、確信と証拠があったのでしょう)に協力。ログの解析を頼まれたアウトソーシング業者から「クロ」の判定が出て...

 露見しないよう内々で処理され、情報の拡散は食い止められました。現在であればPマーク等があるので、内々で処理するのはいけないわけですが、まぁほんの少しばかり昔の話ですのでご了承を。あれからだいぶ経ちますが、情報が売られたとかそんな話はないのでうまくいったのでしょう。

 

 この他にも、セキュリティが甘いと重要なPCやサーバーのIPを把握され、別PCによる「なりすまし」をされるだけで抜かれてしまうケースなどもありました。リモートデスクトップでセキュリティがかかってないPCにアクセスすることでデータを抜いた事例も。(アクティヴディレクトリが複雑に設定されすぎていて、その穴を突かれた事例もありました)。

 どれもこれも稚拙なものから玄人もかくやという手口までたくさん。

 

 しかし共通しているのは「他人からはPCに詳しくないと思われている人間」か「システム部署でない別部署の社員」がやっているということ。

 

 経営者や上司が把握していないところで爆弾を抱え込んでいる...そんな状況だったのに誰も気づかない。

 経歴にあえてかかない(システム部署に行きたくない等)人もいるものなのですから。

 別にすべての人が悪人と決めつけるものではないですが、セキュリテイは性善説で構築するものではありません。担当者も含めてすべての人間を疑うのが基本だと私は思っています。

 

 かくゆう私も一時期はただの営業として働いてたりしましたので、その時に「ああなんてザルなセキュリティだ...こんなのあっという間に突破できる」なんて思ってたりしましたが。

 

 実際には実行に移すどころか連日外出三昧で、帰社しては書類と見積もりの作成に追われてそれどころではなかったんですけれど。

 

 まぁそれはともかくとして。

 

 ある程度大きな会社ではそれなりのセキュリティ対策をしていると思うのですが、小規模から急速に大きくなった会社などでは施策が追いついておらず、増員した社員にそんなスキルがあるかどうかは把握できていなかったりします。

 システム担当はいても部署はなかった...のに、社員は倍増。支店も増える...なんてことになると、セキュリティは後回しになったり。

 そんな状況下に今あなたのいる会社がいるとしたら...実は結構危険なんじゃないか? 何か対策した方がいいかも...と思った方がいいかもしれませんよ?

 この手の記事は詳しく書けば書くほど手口を公開するようなものなのでぼかして書くしかないんですが、心づもりとしてそんな対策も必要なんだな...と話のタネにでもしてもらえればと思います。ネットで検索すればやり方の糸口はそれこそ簡単に手に入る世の中ですし...ね。

 

 

 

余談

 私は今の会社に転職した時には開発に対するマネジメント力などをアピールして入りましたが、セキュリティ関係の知識があることも知られてしまいましたので、今後は守る側にその力を活かしてくれと言われています(いくつかの開発とインフラ、セキュリティ担当を兼任させられるにいたり、身体がまったく足りない状態になりましたが...自分をマネジメントしないと本気で対処できないかも(笑)タスクコントロールの技量が問われるところです)。

 幸い部下がいないので、その分身軽なのがありがたいですが...

 さらにサーバーやクライアントのメンテ等の仕事がきたらやばいなぁとは思いますが、それなりの企業はその辺りはすべてアウトソーシングしていますので今回は安心。メンテは趣味だけにとどめたいところです。

 今までの経験と趣味の範囲で様々な手口を知っていますし、障害点になりそうなところはある程度見つけられるので外部の専門家と相談しつつ対策していこうかと思っています。システム開発と両立させるのは相当厳しいんですが...まぁ、勤め先がくだらない情報流出なんか起こしてほしくないので。

 それと余談をもう一つ。システムの要件定義の話になりますが...

 現場レベルでは顧客の詳細一覧とか出力出来るようにしてくれとかシステムの機能要望があったりするんですが...いったん出力しちゃうと、それがどのように使われるかシステムではもう把握できません。

 一覧を印刷してしまったとして、それを運用する側が「うっかり」外部に忘れてきてしまったら。あるいはそれを持って転職してしまったら(手土産に既存顧客のリストを持っていくのはよくある話です)。システム設計者はこの辺り、利便性をとるのかセキュリティをとるのかのバランスをうまく考える必要にせまられます。

 私は住所や名前の一部を伏字にする方式を以前とったことがあります。現場の人は普段その人の名前や住所等を見ているわけですから、そこそこ隠しても「ああ、あそこは...」とわかるものなのです。

 業務のチェックリスト等に流用するならそれで十分と判断して現場の意見も取り入れつつ実装しました。現在のセキュリティ基準だとそれもアウトになることがあるので、今後再びその手の要件定義があるシステムの開発を行うことになったら...別のなんかうまい手を考えておかないといけませんね(^^)