orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

「村田製作所の情報を不正持ち出し」の件、正しく理解する

f:id:orangeitems:20210806235031j:plain

 

村田製作所の情報を不正持ち出し」の件、初報だけ見た方は関連記事をもう少し読んで理解を深めた方が良いと思いましてまとめます。

 

www.jiji.com

村田製作所は5日、会計システム更新の委託先である日本IBMが再委託した中国企業で、個人情報など約7万件が不正に持ち出されたと発表した。第三者への流出や情報の悪用は現時点で確認されていないという。

 

これだけ読むと、何で貴重なデータを中国企業に再委託するの!?と思っちゃいますよね。最近は中国へのデータ流出は非常に敏感な問題となっています。

しかし、これにはもっと理解しなければいけない情報が隠れています。

 

www.itmedia.co.jp

村田製作所は8月5日、会計システムの更新を委託していた日本アイ・ビー・エムの再委託先であるIBM中国法人の社員が、約7万2000件の情報を不正に取得していたと発表した。社員は業務用PCから無断でデータを取得し、中国国内のクラウドサービスを使って個人アカウントにアップロードしていたという。既にデータは削除されており「情報の悪用は確認されていない」としている。

 

こう読むと、あれ?、ってなりますよね。

再委託は再委託でも、日本IBMから中国のIBMに対してでした。グローバルではIBMアンダーなので、全く印象は変わります。

ただ、まだ謎は残ります。

なぜ中国のIBMへ再委託したのか、と言う件です。この記事ではその必然性はわかりません。

また、どうしてこの事実が発覚したのかも不明です。

次の記事が説明してくれていました。

 

xtech.nikkei.com

村田製作所は、業務効率化とデジタル化推進を目的とした全社横断の会計システムの更新プロジェクトを日本IBMに委託。2016年から国や地域ごとに段階的に更新を進めてきた。日本IBMが中国拠点における会計システムの導入をIBM中国法人に再委託したところ、今回の情報の不正取得が発生。中国法人の社内監視システムで不正を検知したという。

 

ここがポイントですね。中国拠点における会計システムなので、最近の中国のデータ管理の厳しさから言って現地法人に再委託するのは逆に合理的なのです。海外企業が中国のデータを扱うと何かと今の中国は大変です。

また、検知ルートも明確です。IBMでは機微な情報を個人の端末で扱おうとすると、社内監視システムに引っ掛かるのですね。これもよくわかりました。

 

この記事の推移を考えると初報だけで知ったつもりになるのは、かなり危険な認識をしてしまうということになります。

・そんな重要なデータを再委託するものなの?

・なんで中国企業に再委託するの?

きちんとした理由があるので、情報は確実に収集しないといけませんね。

また、今回は社内監視システムにて検知はしていますが、結局は外部クラウドにアップロードすることまでは防げていません。セキュリティーの基本として、完全に閉じることは難しく、だからこそ教育によってやっていいこと・やってはいけないことを常に、かつ継続して社員に伝えていく必要があります。

今回のような問題はいくつかの原因が複合して起きると思います。

 

①無知(やってはいけないとは思わなかった)

②不正(正しくはないが自分の益のためにやった)

③攻撃(不利益を与えたいためにやった)

 

今回がどれかはわかりませんが、①無知、のようにも見えます。

私も以前、①無知、によりセキュリティー違反をした人をヒアリングしたことがあるのですが、非常に恐縮しなぜこんなことになってしまったのかと大いに反省します。でも情状酌量されない場合もあります。また、なぜ無知な状態の社員にデータを触らせたのかという管理職の責任も当然問われます。本人の悪意がない割に、いろんな人が迷惑を被るので、この無知によるセキュリティー違反は、非常に厄介です。

ついつい、無知の問題については、未熟な方を厳しく指導してしまいがちですが、こういう理由です。逆に言えば、本当に無知ではない、という把握ができるまでは、本番データへアクセスできないようにするべきだと、ここ最近思ったことがあったのを思い出しました。

 

このニュース、バックグランドはぜひ正しく知っておきましょうね。