この記事の件の感想です。
不動産販売会社レオガーデン(本社・千葉県船橋市山野町)は20日、元社員が顧客情報など約2万6千件のデータを漏洩(ろうえい)したと発表した。
発表によると、営業職の男性社員が今月4日、社内パソコンから大量の顧客情報(氏名、住所、電話番号、資金計画書、建築図面など)、事業計画書、社有物件データなどを外部のオンラインストレージにアップロードした。
考察
この件は、何回読んでもよくわからないのです。外部のオンラインストレージにアップロードしたら、漏えいになるのでしょうか。報告書(http://www.leogarden.com/)も見たんですが・・。
おそらく以下のフローだと思います。
(1)営業職の男性社員が、社用のノートパソコンに、社内のファイルサーバーからほとんどのファイルをダウンロードした。
(2)営業職の男性社員が、社用のノートパソコンのファイルを仕様のGoogle DriveやMicrosoft OneDriveなどのオンラインストレージにアップロードしていた。社内から行ったのか、自宅に持ち帰ってから実施したのかは不明。
(3)社内情報システム部門の定期サーバー点検の際に、ファイルの異常なダウンロードが判明。おそらく何らかの監査ソフトウェア(SKYSEA Client Viewなど)がインストールされていたのだと思われる。社内のノートパソコンへデータが一括でコピーしていることがこの時点で明らかになる。
(4)情シス部門がセキュリティ担当役員に通告したところ、その社内ノートパソコンの調査をするようにとの指示が下りる。
(5)営業職の男性社員の社内ノートパソコンが情シス部門に没収される。
(6)営業部長同席のもとセキュリティ担当役員が、営業職の男性社員からヒアリングをする。この時点でオンラインストレージの利用の件を告げた可能性がある。
(7)情シス部門が、ヒアリング内容と社内ノートパソコンの状況が一致するか確認。例えばオンラインストレージへアクセスするソフトウェアが入っていたり、実際にファイルがアップロードされているか確認したりする。もし監査ソフトウェアが入っていればその情報も突合する。
(8)セキュリティ担当役員が、総合的に情報を判断し、他の役員と相談して最終的に社長が対応を決める。
ただ、ホームページを見ると、
社員30名の会社なので、情シス担当も一人、セキュリティ担当役員も一人、役員も1~2名だったと想像します。定期点検をやっているあたり、きちんとした運用をやっていると思います。
わからないのは、オンラインストレージにアップロードしたことをもって、これを「漏えい」と表現することです。単にアップロードするだけではさっぱり漏えいしません。第三者もしくは不特定の誰かに公開するような設定になって入れば別です。
ただ、大手のオンラインストレージは、他のユーザーと共有までしかできないので、特殊な方法でも用いないとなかなか「漏えい」までには至らないと思います。
アップロードしたことそのものではなく、インターネットを通じて誰かに引き渡したとかであれば漏えいでしょうが、報告書にはそのあたりの事情は不明です。話を大きくしてまで「漏えい」としたかった理由もしくは何らかの根拠があったと思われます。
漏えいとしたかった理由としては、この男性社員を解雇するための理由を作るためです。男性社員に悪気があったかどうかはわかりませんが、経営者が激怒し、処分するシナリオを作ったというパターンです。憶測ですがライバル会社へ転職を進めていたとか、このデータを持って独立するとか、いろいろなケースが考えられます。
もしくは漏えいを本当にしていたか。ただこの場合は、報告書に明記すべきです。これが不明ということは、漏えいは起こっていないような気がします。
ということで、アップロード即懲戒解雇という事例は珍しかったので、記事にしてみました。再発防止とするとISO27001の取得といった普通のセキュリティ対策になりそうですが、そんなにデータを引っこ抜かれたくないのであれば社員にノートPCを使わせて持ち帰りOKとするほうがマズイ気がします。
