1月にオージス総研が提供する無料のファイル転送サービス「宅ファイル便」から大量のユーザー名、パスワード、生年月日、氏名等の情報が漏洩しました。その数およそ480万件。それから2か月がたちますが、サービスは休止したままです。といいますか、おそらくこのまま廃止させることになるでしょう。
このサービス、「無料」であり、広告により収入を得ていたのですが、どう考えても同社の本業であるシステムからの経営コンサルティングとの関係性が薄く、収益の拡大も期待できない。今度の事件で広告主も躊躇するでしょうし、無料でもGoogleドライブなどの代替手段もある中で、再開する意味はないでしょう。
オージス総研は、大阪ガスの子会社で、昔(2000年頃)は(今は昔よりビジネスコンサルよりの営業メニューが多いようですが)GIS関連のシステム提案などもしていたため、地図に関するお仕事での関わりが同社とあり、その際にこのサービスで大量のファイルを送付するように言われたことがあります。つまり、私のパスワードや生年月日もたぶん今回漏れました。もっとも、その後全く使っておらず私自身、どんなパスワードにしていたか見当がつかない…それをヒントに今、他のサービスのパスワードが破られて悪用されても全く不思議ではありません。
反対に、その後勤めていたある上場企業では、宅ファイル便を含めてすべてのファイル転送サービス、あるいはほかにもPtoPツール、チャットツール、テレビ会議ツールなどがファイヤーウオールにてすべてシャットダウンされていました。どうしても取引先との都合でファイル共有サービスを使う必要があるときは、情報システム部に申請して、情報システム部にDMZにあるパソコンで代理受信し、チェックしてもらい、共有フォルダ上にて1時間限定で受取れるよう公開してもらう、という念の入りようです。
こんなことを数千人の企業でさせられる情報システム部もたまったものではありません(現に、かなりの数を朝から夜遅くまで対応させられていると言っていました)が、個人情報を大量に扱う同社では、「間違えても」「悪意があっても」情報事故ができないぐらいのルールの縛りにすることが、結果として「社員を守る」ことであるという考えのもと、厳しいポリシーが敷かれていたのです。おかげで私の社内SNSなどの新しい仕組みへの体験的理解は数年遅れ、最近まで旧型のメールベース人間でした。
今回のオージス総研の事故を見る限り、そこから漏れたパスワードから社員個人や会社に被害が及ぶリスクを考えたら、後者の厳しい制限は、「リスクを排除する」という点では正しかったとも言えますし、役員が言っていた「厳しいルールは、社員を守るため」ということも決して方便ではない、ということも改めて思ったのです。
しかし、程よい「セキュリティルール」とは特に中小企業の場合、どの辺にあるのでしょう?
もっと踏み込んで考えると、個人の行動に対するセキュリティ関連の統制の強度はどの程度が適当なのでしょうか?最近は若いベンチャー企業のお話を伺う機会が多いこともあり、セキュリティ監査にヒイヒイ言っていた過去の各社での経験からは、一つ一つの事務所内のモノの状況やパソコンの状況に、「いつか何か大きな問題が起きる」という懸念を感じずにはおれません。
しかし、痛い目にあって、始末書書いて昇給停止になったり強制異動になった人を目の当たりにしていない彼らは、お金の問題でもなく、手間(はかなり関係あり、誰かが面倒見ないといけない)が主でもなく、行動をルールベースで縛る、ということが我慢できません。なぜなら自由であることを主目的に大企業に勤めないような選択をする人たちなのですから。そして、大企業との取引で、そうした管理状況が出来ている会社であることをアピールすることがどの程度有効かとか、あるいは社内でのデータ管理について、どういう内容を商談に盛り込めば自分たちの信頼性を高める効果があるか?ということも良く知りません。それは、一部の人は大企業に勤めたことがあっても、それらを俯瞰し管理したり、審査したりする側に回るほどのビジネス経験が彼らには通常はないからです。
当たり前ですがこういう事故は徐々に起きるわけではなく、ある日突然起きます。場合によっては(管理状況がひどいと)起きたことにすら気づかず、お取引先から指摘されて調べ始めるような事態になります。それを知っている大企業側は、私が知るいくつかのケースでは、「自社にないサービスを使ったり提携することは構わないのだが、自社の関連情報が相手にわたると何が起きるかわからないのが怖い」と言っていました。また、「契約書でいくら縛っても実態としてベンチャー側で有効な対策を打つとは限らない、たぶん口だけで何もやらない」、ということもわかっていました。
日本では、大企業とベンチャーとの連携が未発達ということを言う方がいますが、このように、「情報セキュリティを含むリスクに対して消費者が過剰に(あえていいますが)過敏であり、大企業はそれにビクビクしている」状況をベンチャー側が踏まえず、対等であろうとする、対等であると考えることに、大企業側が「自分たちの常識が通じず、自分たちに対する世間の目の厳しさを理解していない人と深くかかわるとアブナイ」と考えることが一因でしょう。
中小企業の情報セキュリティの改善が進まない理由にはほかにも二つ現実の問題があります。
一つ目は人員配置の問題。中小企業には、これほどまでに情報の重要性が高い時代になっているにもかかわらず、情報システム担当をおいてシステムのセキュリティ水準をマネージメントする、というようなことが期待できません。これは、中小企業のビジネスの多くが下請け的であり一人の間接人員の人件費を増やすことができる見込みが容易に立たないことと、そのような技能の持ち主が容易には見つからない、ということがあります。これは、一定の制限をルールベースで儲けることができれば、あとは各社のマネージドサービスを利用することでかなりの部分緩和することは可能です。
もう一つは、基礎的知識が経営者や管理系の管理職に圧倒的に不足していて、重要性や妥当性を判断できないことです。
こんな事例がありました。社員はみんなノートパソコンのローカルディスクにデータを保存し、WiFiルーターを支給され外で営業して合間に作業している会社で、UTM(統合型脅威対策アプライアンス)を営業マンに進められるままに月額5000円で導入した、というのです。プロキシールールやVPNルールを変更するとか、ディスク保存の制限とかはもちろん誰も指示していません。明らかに、この営業マンも自分の営業数字のために無駄なものを売りつけているのですが、本人たちにはその被害の自覚が全くないのです。これを読んで、何が問題なのか分らない方は同じ問題を抱えて同じ騙しに会うリスクがあります。
UTMを有効に機能させるには、UTMで保護される範囲と、外部との情報のやり取りについてUTM経由以外をすべてシャットダウンする対策が必要なのです。なぜならば、UTMは城の中の人(PC類)を守る門番であり、門番が身分証チェックや身体検査をしないで裏口から城に入ってこられても、門番はやりようがないからです。しかし、この作業には、UTM本体を設置し、適当なチェックルールを設定する以上に、手間と知識が必要ですし、社員への説明の上ルール変更への協力も必要です。営業マンはそれを知りつつ、そんなことを言わず、数字だけ稼いで遁走したのです。(この手の営業事例はたくさんあり、かえってUTMという中小企業で便利で手軽な対策の価値を棄損していて、業界の癌だと思っています。)
私は、中小企業も、セキュリティに関するルールは厳しくしなければならない時代だと思いますし、むしろ、「ちゃんとやっているのでうちは取引して大丈夫な会社です。」と言って他と差別化して大企業に営業していくべきだと思っています。しかし、それは、知識も必要ですし、利益水準も一定量削がれる覚悟も必要です。
そして、「ルールに従い、不便を強いる」ことが必要であることを社員に徹底する指導力が何よりも必要です。そのガバナンスが意外とベンチャーでは難関になっているように思います。
