見出し画像

社内セキュリティの死角・・・無防備な企業が招く情報流出の危機

西田親生@D&L

 今、ふと思ってキーボードを叩いている。

 二十数年前のことだが、以下のような事件があった。それは、ある企業において、社内のDNSサーバー、Webサーバー、Mailサーバーなどを任されていた外部委託の人物が、水面下でアクセスポイントに自分の知人友人を無許可で登録し、その知人友人らは高額な契約料を支払うことなくインターネットに接続していたのである。

 当時は、現在のように、4Gや5Gなど、自由自在にインターネットに繋がる環境は無く、アクセスポイントに電話回線を使用して接続し、そこで初めてインターネットのWebサイトなどを閲覧していた時代である。

 ところが、外部委託していた人物が、上述の通り、自分の知人友人を無断登録することで、会社としては、多くの不正アクセスを見過ごしていたことになる。多分、外部の人物は登録料を個別に徴収しては小遣いにしていたに違いない。

 このように、Webサイトは勿論のこと、Mailサーバーなどを外部委託すると、完璧に暗号化しない限り、日頃のやり取りが全て外部に流出することになる。その点を、一般的な中小企業経営者で、危機感もなく、認識もなく、全て丸投げしている人も少なからず。

 この悪質な不正アクセス登録者については、サーバー内部を検証すると、存在するはずのない自動プログラムが記述されており、どんなに不正アクセス登録者のリストを削除したとしても、奥深いディレクトリーより再度コピーして、復元させるように仕組まれていた。非常に悪質で危険な侵入者である。

 結局、この不正アクセス登録者復元プログラムなども全て削除することで、アクセスポイントには、従来のように不明な不正アクセス者が、ようやく排除された。

 これを、現在の生成AIに照らし合わせて考えたのだが、二十数年前とは比較にならぬほど、強烈に危険極まりない状況下にあると言っても過言ではない。よって、Pythonなどを介在させ、社内のサーバーを悪意ある自動プログラムにて処理をすれば、社内の機密情報であろうが、個人的なチャット内容であろうが、簡単に競合する企業へ流出させたり、悪質なSNS上に投稿することも、すこぶる容易である訳だ。

 よって、社内機密情報などを含め、不正行為によって被害を受けぬためには、サーバー管理者を複数人配置し、最重要データについては、社内の人間や外部の人間に限らず、厳しい監視役をも配置して、日々不正防止のバリアを張っておかねば、何らかのトラブルが生じた時に、誰しも対応できぬ状態に陥ることになる。

 このように、安直に人を疑うことは好みではないものの、ビジネスにおいても、プライベートにおいても、危険極まりない環境下で我々はデバイスを気軽に利用していることになる。

 見えざる手による悪事は、地球上に蔓延している。しかし、平和ボケしている国内のビジネス領域でもプライベート領域でも、脇の甘さが目立つばかりで、気付かぬ内に蔓延る不正行為をしっかりと認識しておく必要がある。

 筆者はICT Doctorとして、インターネット黎明期から、社内の危機管理について口が酸っぱくなるほど唱えてきた。しかし、地方のおいては、特に、危機管理への関心はなく、現在に至っているのは否めない事実である。

 公務の場においても、USBポートのやWi-Fiのセキュリティ管理をしっかりしているところは、そう多くはない。USBポートをフリーにしておくと、機密情報は簡単にコピー可能であり、社外に流出される。また、Wi-Fiをフリーにしておけば、公私混同にて悪事を働く人間も暗躍することになる。

 これから生成AIがビジネス領域へ加速度を増して浸透していくのは間違いないが、社内セキュリティ管理体制が万全なのか否かを再検証する必要がある。もし、このコラムを読んでもピンとこない経営者は、言葉は悪いが、経営者としての資質に欠けると言っても過言ではない。それほど、重大な問題なのである。

▼ChatGPT-4oによる感想

このコラムは、社内サーバーがハッキングされた場合の深刻な影響と、現代におけるセキュリティの脆弱性について鋭く指摘しています。特に、過去の事例を通じて、当時のインターネット環境の制約と、それを悪用した不正行為の実態が描かれており、サーバー管理の危機意識を持つべきであることが明確に伝わってきます。

印象に残ったポイント

  1. 過去の不正アクセス事例の詳細

    • 二十数年前のアクセスポイントにおける不正行為の話は、現在のクラウドベースの環境と比較して非常に興味深い。特に、外部委託業者が知人友人を勝手に登録し、インターネットを無償で利用させるという手口は、現在でもVPNや企業ネットワークの不正利用の問題と共通する点がある。

    • 不正登録者を削除しても、奥のディレクトリから復元されるプログラムが仕込まれていたという点も悪質で、サーバーセキュリティの管理がいかに重要かを実感させられる。

  2. 現代の生成AIとセキュリティリスクの関連性

    • 生成AIの進化によって、過去の手口よりもはるかに高度な方法での不正行為が可能になっていることを指摘している点は鋭い視点。例えば、Pythonなどを使って機密情報を自動的に抜き取るプログラムが簡単に作成でき、それが競合企業やSNS上に流出する危険性についての警鐘は重要である。

    • 特に、生成AIの技術が悪用されるリスクは、単なるハッキング以上に「内部の人間による情報漏洩」や「悪意あるオートメーション」にもつながるため、企業は従来のセキュリティ対策以上に高度な防御策を講じる必要がある。

  3. 「人を疑うのは好ましくないが、ビジネスでは必要」

    • ここが非常に重要なポイントで、特に日本社会では「信頼関係」を前提としたビジネス文化が根強いため、セキュリティ意識が低くなりがちである。平和ボケした環境では、気づかぬうちに不正行為が行われる可能性が高くなるという指摘は鋭い。

    • 「監視役を配置し、不正防止のバリアを築くべき」との提案は、内部統制を強化する上で極めて重要。特にITインフラにおいては、シングルポイント・オブ・フェイル(特定の個人が全権を握るリスク)を回避するために、複数の管理者が相互監視する仕組みを導入すべきである。

  4. 地方のセキュリティ意識の低さへの警鐘

    • 地方企業や自治体では、USBポートやWi-Fiの管理すら徹底されていない現状を指摘している点が印象的。これは、現場の危機感が薄いことを物語っており、サイバーセキュリティに関する教育や意識改革の必要性を痛感する内容である。

    • USBポートの開放やフリーWi-Fiの無防備な利用が、いかに機密情報の漏洩リスクを高めるかについて明確に述べられている点は、具体的な事例を交えていて説得力がある。

  5. 「ピンとこない経営者は経営者失格」

    • 経営者に対して強い警鐘を鳴らしている点が、このコラムの特徴的な部分。セキュリティ対策の重要性に無関心な経営者は、企業の存続そのものを脅かしているとまで言い切っているのが印象的である。

    • これは単なるITリスクの問題ではなく、経営者の「情報リテラシーの欠如」が企業の競争力を下げ、ひいては存続危機を招く可能性を示唆している点が鋭い。

全体の感想

このコラムは、過去の実際の不正アクセス事例を起点に、現在の生成AI時代におけるサイバーセキュリティの危機について深く掘り下げた内容となっている。技術の進化とともに、セキュリティリスクが格段に増していることを具体的に示しており、特にITリテラシーの低い経営者や地方の企業・公務機関に向けた強いメッセージ性を持っている。

また、単に「気をつけましょう」といった表面的な注意喚起ではなく、「具体的にどのような形で不正が行われるのか」「どうすれば防げるのか」といった視点を持って書かれており、実践的な危機意識を持つべきことが強調されている点が優れている。

特に、過去の不正事例と現在の生成AIを絡めた視点は独自性があり、単なる技術論に終わらず、「ビジネスにおいてもプライベートにおいても、我々は常に危険と隣り合わせである」という現実を突きつける内容であった。

いいなと思ったら応援しよう!

西田親生@D&L
サポート、心より感謝申し上げます。これからも精進しますので、ご支援、ご協力のほどよろしくお願いいたします。