2016

問題文

貴方は情報セキュリティに関する専門家としてコンサルティング業務を行っています．顧客企業から次のような相談が来ましたので，この相談に対してアドバイスをしてください．

----------------------------------------------------------------------------------------------------

私どもの会社は、利用者様が自分の仕事をしながらも、他の利用者様とのコミュニケーションを通じて互いに刺激を与え合える場所、いわゆるコワーキングスペースを運営しています。ここ数年で日本でもコワーキングという働き方が注目されてきたこともあり、関西圏を中心に十数店舗を展開するに至りました。しかし、先日、とある利用者(A様とします)から、私どもの店舗で作成した資料がインターネット上に流出しているというクレームを受け、どのように対応すべきか判断しかねております。ご助言を頂けないでしょうか。

私どもの運営するコワーキングスペースは、いつでもどこでも気軽に利用できることを売りにしています。お客様のご利用の仕方に応じて、2種類の料金プランを用意しています。日常的なご利用を希望される方には月額制の会員になっていただきます。会員証はカードキーも兼ねておりまして、ご入会いただいた店舗だけでなく、どの店舗でも24時間好きな時間にご利用いただけます。試しに利用してみたいという方や出張等で一時的に利用したいという方には、1Dayプランをお薦めしています。

各店舗にはデスクトップPCが10台ほどある他、ノートPCの貸出サービスも実施しています。これらの端末にはVDI(仮想デスクトップ環境)への接続アプリケーションがインストールされており、アカウントとパスワードを入力いただくと仮想環境にログインできます。仮想環境では、利用者様は自由にデスクトップ環境をカスタマイズしたり、アプリケーションをインストールしていただくことが可能です。この仕組はセキュリティの向上にも役立っていると考えています。また、この仮想環境はクラウド上の仮想マシンとして動作していますので、利用者様はどの店舗からログインしても同じ仮想環境をご利用いただける他、ご自身のPCやスマートフォンに専用のアプリケーションをインストールしていただくことで、ご自宅等からも同環境にアクセスできます。手ぶらで来ても自宅での作業の続きができたり、ちょっとした修正をスマートフォンから行えたり、柔軟に仕事ができると好評を頂いております。

無線LANサービスを提供しておりますので、ご自身のノートPCを持ち込んで作業していただくことも、もちろん可能です。無線LANは暗号化しておりまして、VDI環境のご利用の際と同じアカウントとパスワードで認証いただければ利用できる仕組みになっています。また、複合機も設置しておりますので、書類のスキャンやプリントアウトなども可能です。こちらは、店内のLANに接続していただくと、自由に利用できます。

私どもは利用者間のコミュニケーションを盛り上げていくことも重視しています。例えばオープンスペースであることはもちろん、テーブルのレイアウトにも気を配っています。また、現在試験的に、ネットワークカメラと大型スクリーンを利用して店内の様子を他店にライブ中継しています。これにより、複数の店舗を仮想的な一つのスペースに繋げることができ、新たなコミュニケーションが生まれるのではないかと期待しています。まずは1ヶ月程度、利用者の多い10:00～21:00に数店舗で運用してみて、好感触が得られれば順次拡大していく予定です。

さて、先日受けたクレームについてですが、A様が会議のために作成していた資料の内容がインターネット上に流出したというものです。A様はフリーランスのUIデザイナーで、現在スマートフォン向けのゲームアプリ開発のプロジェクトに参加しておられます。当日は、1週間後のプロジェクト会議のためにゲーム画面のUIデザイン案を作成していたそうです。ところが、その2日後、当該資料の一部が開発中のイメージとして某匿名掲示板に公開されてしまっているのを、A様自身が偶然発見したとのことです。

この資料は貸出ノートPCで作成したそうですが、仮想デスクトップ環境を利用されていたため、他の方がその資料を見ることはできません。また、本資料を作成していたのは深夜帯で、当時店内にはA様以外は居られなかったため、A様が席を外した際にデータを盗まれたり、画面を撮影されたということも考えられません。当該店舗はネットワークカメラを導入していましたが、同時刻に中継は行っておりませんでしたので、他店から覗かれたということもありません。メールや共有サービス等で外部に持ちだしたことはなく、もちろん、P2P共有ソフトなども入れておられません。仕上がりを確認するため店内の複合機でプリントアウトはしたそうですが、その後すぐにシュレッダーにかけて廃棄したとのことです。以上のことから、誰かが自分の仮想デスクトップ環境に侵入したとしか考えられない、アカウント情報の流出の有無の調査と迷惑料を求む、というのがA様の主張です。

このような情報流出事件は初めて経験したため、どう対応したら良いかわからず困っています。なぜこのような事件が発生してしまったか、また、クレームへの対応を含めて今後どのように対処したら良いか、助言を頂けませんでしょうか。

以上、何卒宜しくお願いいたします。

○×ワークス　九度山雄

講評

今年の情報危機管理コンテスト一次予選は、参加チーム数こそ昨年並みではありますが、例年よりもはるかにハイレベルな争いになったと思います。参加チームの皆様は、さぞ熱心に勉強されたのだろうと思うと、我々も涙が出そうです。一方で、予選敗退された方には、こちらのリソースに限界があるとはいえど、心から申し訳なく思います。二次予選は実戦形式でさらに楽しくなりますので、皆に経験をして欲しいのですが・・・。

さて、今年の問題は「コワークスペース」というモダンな話題を扱ったわけですが、今回の問題設定を技術キーワードで見てみると、無線LAN、仮想デスクトップ環境（VDI）、クライアント端末（スマートフォンやPC）のセキュリティ、サーバ、ネットワークカメラ、複合機、そしてそれらの運用のソーシャル面まで、非常に広くシステムを俯瞰できなければ適切にアドバイスができないような内容になっています。最近は利便性を最大限に求めるようになってきていますから、そのトレードオフとして、情報セキュリティもギリギリのところが求められますし、大変です。このような幅広い技術要素を俯瞰して判断できる能力を磨いて、ぜひ本物の管理者を目指していただきたいと思います。

特に今回は、ネットワークカメラや複合機といったハードウェアの、組み込みソフトウェアの脆弱性が狙われた可能性について取り上げてみました。組み込みソフトウェアの脆弱性を狙った攻撃の脅威は随分と前から指摘されていて、例えばIPAが発行しているセキュリティ白書2006年度版では注目すべき10大セキュリティ脅威の第7位にランクインしています。それにも関わらず、2016年になっても複合機やネットワークカメラが外部からアクセスできる状態になっていたと報じられていますし、自動車をクラックして遠隔操作する実験がネット上に公開されたのも記憶に新しいところです。IoT時代の到来でますます色々なデバイスがインターネットに接続されつつありますので、今後は「まさか」と思える切り口を疑える注意力や想像力が求められそうです。

皆様のアドバイスを見ると、初動対応と原因分析は、程度の差はあれど、意識されて書かれていると思います。特に今回は、原因になり得る要素がかなり多くなるように設定されているのに、皆様かなり網羅的に列挙をしていますし、システムの脆弱性から「A様」の自作自演に至るまでしっかり気づいて考慮に入れられていると思います。一方で、原因を列挙するまでは良いのですが、それらをどのように意識して追求していくべきなのかについては、少数のチームにしか説明されていなかったと思います。最終的にはこれら全部の原因をチェックするにしても、時間も限られていますので、やはり何かの戦略に従って最大の効果を得るようにしたいものです。

今回のケースでは、戦略上重要なポイント２件あります。1点目は、重大な影響（ダメージ）を受ける結果になることを避けたい、ということです。今回、一番まずいのは、システムに脆弱性があって、外部からの侵入によってデータが漏洩していることです。こうなったら会社の信頼は大打撃を受けますし、対応が遅ければさらに叩かれます。ですから、もしシステムに脆弱性があったならば、何としても迅速にこれを特定し、被害を最小限に食い止めるための対策をしたい。このためには、システムの脆弱性の点検を真っ先にやる、という戦略が選択肢に入ってきます。

2点目のポイントは、今回の情報漏洩（の疑い）の責任の所在です。つまり、「A様」の過失なのか自分の過失なのか、それともわからないのか、を明確にしたいということです。自分の過失でなければ相手に補償をしてはいけませんし、「A様」の過失であったり（パスワードの漏えいなど）、お金欲しさの犯行である可能性も否定できません。何より、責任の所在を明確にしない限り、今回の問題はスッキリとは終わらないのです。よって、常に責任の所在を気にして原因究明をすることになるでしょう。ところが、少し考えると、原因が明確にならない場合がそれなりに有り得ることに気づきます。そのような場合、皆さんなら、どうしますか？これは、どのチームも言及していなかったので、ゆっくり考えていただきたいと思いますが、原因がわからない、或いはどちらの責任とも言い難い原因であるような場合の対処方法ってどうなるのでしょうね。少なくとも、原因が特定できないという結論にできるだけ至らないように、また、自分の責任を最大限に回避できるために、インシデント発生時のファイルやログ等の証拠を保管しておいて、後から調査できるようにすることは戦略上重要になるでしょう。そうやって先を見据えた戦略を指南したいところです。

最後に選考ですが、皆さんよくできているのでどう判断しようか迷いました。結果としては、初動、原因分析、プレゼンテーション、戦略の４点が大事であろうということで、これらの観点から評点をして決めさせていただきました。初動や原因分析についてはどのチームもそれなりに意識されていましたので、結果的には、「戦略」の部分が予選通過か否かを分けた感じがします。単に原因を列挙するだけでなく、意味のある探索ができると良いなと思います。コンサルタントとしての光る個性や独自性も、そういうところから生まれるでしょうね。

一次予選に関して感じたことは概ね以上です。予選通過されたチームは、引き続き、二次予選をお楽しみ下さい。あ、そういえば、顧客の名前を呼び捨てにしたり、名前を間違えたチームがありましたね。我々もちょっとびっくりしましたよ。時間が限られた競技ですし、勝敗にも影響ありませんが、今度からはちゃんと確認しましょうね。

それではまた、お会いしましょう。

文責　一次予選担当　吉廣卓哉・藤本章宏（和歌山大学）