2022/6/29 本日のリーディングリスト「尼崎市USBメモリ紛失事件」

沢しおん

尼崎市USBメモリ紛失事件

 大変な事件が起こりましたね……。下記に発覚から直近までの記事を連続で貼ります。

 ネットユーザーから「セキュリティの教科書に載せるべき」と言われてしまうくらい、やってはいけないことのテンコ盛りとなったこの事件。簡単に要素を整理してみます。


  1. 重要なデータをUSBメモリにコピーした

  2. 正副2本のUSBメモリを同一人物が所持していた

  3. データが入ったままUSBメモリを持ち出した

  4. USBメモリを所持したまま飲酒に及んだ

  5. 無関係な敷地に侵入し、後に路上で寝た

  6. 記者会見で「パスワードの桁数、使用文字記号」を明らかにしてしまった

  7. 市から直接委託された企業ではなく協力会社からさらに再委託された上で事件が発生した

 これらについて、一つ一つ解説してみたいと思います。相当に推測が含まれることをご了承ください。

1.重要なデータをUSBメモリにコピーした。

 何らかのデータファイルがあったとします。強固なセキュリティのデータストレージに格納します。次に、同様に強固なセキュリティのデータストレージにファイルをコピーします。すると、単純に漏洩する確率は2倍になります。どっちかから漏れればよいので。
 半面、片方が壊れてももう片方が生き残っているでしょうから、生き残る確率は倍になります。(確率計算の授業をしたいのではないので、漏洩や壊れることの確かさや、同時に壊れるというのは無視します)

 コピーをする。デジタルデータというのは完全に複製することが可能ですので、1つのファイルが2つに増えるというのはそういうことになります。

 次に、媒体の違いを考えます。強固なセキュリティのデータストレージではなく、USBメモリにデータファイルを入れるとします。USBメモリは小型で、持ち運びがしやすく、他の端末へ中のデータをコピーしやすいです。これはそのまま、失くしやすく、持ち出されやすく、他の端末へコピーされやすいということになります。

 これ以外に、そこにデータが入っていることがわかりやすい、という性質があります。道にUSBメモリが落ちていたら「何かのデータが入っているな?」と思うはずです。ここで「これはウィルスが仕掛けられた罠かもしれないから上から重い石を落としてその上から足で石をグリグリとやって磨り潰し粉々にしよう」と行動できる人はプロ中のプロです。
 拾ってしまうし、家まで持って帰ってしまうし、中味を確かめてしまうし、なんならコピーしてしまうし、その後になってから交番へ拾得物として届け出てしまう。そういうものです。

 となると、USBメモリはそもそも重要なデータを入れる器としては向いていない、ということになります。
 オフィス内だけで使えば良い、という運用もあり得ますが、現場スタッフの心に急に魔が差すなんてことを誰が止められるでしょうか。家族を人質にされていたり、給付金誤振込みの返済をしなければならなかったり、そんなときに手元にUSBに重要なデータが入っていたら……。という恐れを誰も排除できないし、その想像を笑えないものとして考えなければならないのが「重要データ」です。

 さらに大喜利的に語られていたのは、こういった問題を解決するために典型的な日本企業なら「USBメモリにコピーをする際は、上司の許可を得て押印をもらった上で立ち合いのもと行う」というルールが作られるだろうというものです。

 仕組みづくりのコストをかけずに、セキュリティシステムを導入するよりも単価が安くフレキシブルな人間の万能さに頼って済ませる。すぐ形骸化して意味がなくなることを多数生み出してしまうというのは、現代企業の病巣といえるかもしれないですね。

2.正副2本のUSBメモリを同一人物が所持していた。

 何のための「正」と「副」だよ。って突っ込みをしたくなります。
 おそらくではありますが、USBメモリへとコピーしたファイルが1つだけだと、ファイルを作業中に間違えて保存してしまったときに戻せません。なので「正」では作業せず、もう一つの「副」のUSBメモリで作業をし、間違って保存してしまったら、「正」→「副」へコピーしなおして作業をする。という運用をしていたのではないかと思われます。こういうのを「正」「副」と呼んではいけないのではないかと思いますが、1つめはバックアップでもう1つは作業用なんでしょうね。

 さらにこれは完全に「持ち帰り仕事のしぐさ」だと考えられます。もしUSBメモリが1つだけなら、作業を間違ってしまったときに「明日また出社して、大元のサーバーからコピーしなおすまで、データが戻せない」ということになりますから、その大元のサーバーの代わりに「正」のUSBメモリを用意しておくわけですから。1つのUSBメモリの中に同じファイルを2つ持っておけばよいのではないかとも突っ込めますが……。片方が壊れたときを考えて、別のハードウェアにそれぞれファイルのコピーを持つという考えに至った可能性もあります。

 失くすことを前提とすると、同じカバンに入れていたのであれば一度に失くしますから、片方をポケットに、片方をカバンにという運用がよさそうですが、ポケットに入れていたほうは駅のホームに落とし、カバンのほうは他人の敷地に忘れるという災害規模と捜索範囲が倍になる恐れがあるので、とにかく失くしやすいものを増やさないというのが鉄則です。
 これが「両方が揃わないと用をなさないもの」であれば、それぞれを別の人に預けて、別の交通手段を使い、必要となる場所で合流するというやり方ができるかと思います。

3.データが入ったままUSBメモリを持ち出した。

 もうこれは1.と2.それぞれで書いたことがほとんどですが、記事によっては「作業に使用したデータは消去することになっていたのを、消去しなかった」というニュアンスのことが書かれています。果たして消去すればよいのかというと、後で紛失してしまうことを考えると、そうではありません

 例えば、大切な写真データがたくさん保存してあるスマホのminiSDカードを持っていたとして、間違ってまるっとフォルダごと消去してしまったとします。どうしますか? 必死で復旧しようとしますよね。ゴミ箱フォルダに入ってないか、復元アプリはないか、パソコンに詳しい知り合いに復旧してもらおうとしたり、専門業者を検索したり……etc.

 自分にとって大切なデータが消えたら誰でもそれくらい必死になりますが、慌てたり必死にならなくたって、それと同じことを淡々と「拾った空っぽのUSBメモリ」に対してすればよいのです。

4.USBメモリを所持したまま飲酒に及んだ。

 これはもう「飲んだら乗るな、乗るなら飲むな」と同レベルですね。もし自宅で続きの作業をやろうとしたにしても、酔ったらまともに作業できないという予測のもと、仕事の道具は全部会社に置いて帰ってしまうのが良い。

 ちょっと上司や先輩と夕食してから帰ろうとしたらお酒が入ってしまった。ということも発生するかと思います。断れ。

 しかし、断れるかどうかというのを気持ちの強い弱いという曖昧な基準で逃げ道ができるのも嫌なので、次善の策を示しますが、タクシーで帰るというのはどうでしょうか。タクシーの車内に忘れてしまうリスクはあれ、もしその場合でもタクシー会社に保管されている可能性が高くなります。コストをかけて安全が図れるのであれば、そうすべきという話ですね。

5.無関係な敷地に侵入し、後に路上で寝た。

 飲み会で先輩からしこたま飲まされた学生みたいですが、そういう過去の失敗から、自身の習性をあらかじめ把握しておくというのは危機回避のために重要かと思います。酔うと徘徊してしまうとか路上で気絶してしまうとかがあらかじめわかっていれば、自分という生き物はルーズであるのだとすべてを諦めて、対策を立てることができると思うのです。

 カバンを手にもつ時は必ず提げてに腕を通したり、そのまま列車の椅子に座るなら網棚には何も載せず両腕で抱えるようにしたり等の物理的な決め事をシラフの時から癖にしておき、普段発生する「そんなの持ちづらい」という日々のストレスは、来るべきときに自分が失敗をしないためのコストだと思って受け容れる。持ちやすいとか持ちづらいとかの感情を捨てて「そう持て!」と自身を焚き付けて精神的な改造をやるしかない。

 そのほか、ご自身の改造で効果的なのは「酒にめちゃくちゃ強くなる」などがありますが、この項目についてはそれも含めて「己を知る」しかない気がします。

6.記者会見で「パスワードの桁数、使用文字記号」を明らかにしてしまった。

 とんでもなくテクニカルな失敗です。例えば自転車などにつけるダイヤルを合わせる型のチェーン錠。4桁ということが目に見えてわかるので、0000から始めて9999まで順次ダイヤルを合わせていく工程を見積もることができます。その工程すなわち時間・コストと盗みたいものの割が合えば、無理してでも開錠にチャレンジすることになります。

 例えば、パスワードが13桁の英数字とわかれば、1~12桁の可能性を排除することができ、13個のマスに数字や英字や記号を放り込んでいくにしても、「数字だけ」「小文字だけ」の可能性を排除できるわけです。おまけに「記号」が使われていないとなると、10個の数字と26個の英字小文字の計36個を13桁で総当たりすればよいと、絞り込むことができる。また記事にあるように「amagasaki2022」がパスワードではないかと大喜利が始まっていましたが、総当たりの解析(ブルートフォース)と並行して、関連性が高くよく使われる文字列を辞書から当てはめていくことでも短縮できてしまいます。

 漫画やアニメで自身の弱点をペラペラ喋る敵が出てくることがありますが、どれだけ自信があろうが、絶対に構成要素を公開しないということが肝要かと思います。パスワードが何からできているか、自身が何からできているか、それは弱点なのですから。

7.市から直接委託された企業ではなく協力会社からさらに再委託された上で事件が発生した

 これは環境的な問題です。「市から委託された会社(B社)→(無断再委託)→協力会社→(再々委託)→作業した会社→USBメモリを紛失した社員」という流れがあります。しかも、協力会社と作業した会社の人員をB社の社員であると市に届け出ていたということです。

 再委託を届け出ていなかったという点で契約違反ということであるというのは当然ですが、業界の慣習というのもあります。派遣業法に基づいて派遣社員を雇用するのとは違って、「SES」という名称で社員を出向させて常駐作業させるという業態があります。

 派遣社員は現場でクライアントから指示を受けますが、SESとしてやってきた人員はクライアントではなくそもそもの自身の雇用主から指示を受けます。純委託契約と呼ばれており、「クライアントの〇〇社へ出向いて△△を完成させてこい」ということで、△△の完成に尽くすにあたって〇〇からの指示を受ける必要がない、クライアントに指揮命令権が無い、というのが前提です。

 こういう形でやってきた人と共同作業をしている現場の会社において、その業務内容が市と契約しているものであれば、その瞬間「再委託」が成り立つわけですね。派遣業から派遣社員を雇用しているのとはまったく違う理屈になります。

 今回はそういう「人員の所属と指揮命令権の混合」がそもそも常態化していたのではないかという推測ができます。さきほど「市から委託された会社→(無断再委託)→協力会社→(再々委託)→作業した会社→USBメモリを紛失した社員」と書きましたが、もしかすると、B社による手配の現場では「B社の正社員、B社が雇用した派遣社員、協力会社の社員、協力会社が雇用した派遣社員、協力会社へSESで出向させられてきているどこかの社員」などが全て「B社の社員」として動いているのでは……という憶測が働きます。

 とはいえ、こういった業界構造で社会のIT案件が成立しているというのも事実です。これを多重下請けや流行りの「中抜き(ピンハネの意)」と糾弾するのは簡単ですが、この構造を使わずにプロジェクトを進行できる座組はおそらく日本では無理ということもあり、基本に立ち返って、行政の仕事なのですから、クライアント(今回は市)が状況を把握し、コントロールできることを徹底することが重要かと思います。

行政DXの明日はどっちだ!?

 直近の尼崎市のニュースに下記があります。ITに弱いというよりも、そもそものチェック機構が弱いままに業務が進んでいきやすい土壌があるのかもしれません。

 これは一地域の問題ではなくて、日本各地で同様のこと、先日の給付金誤振り込み事件もそうですが、「ヒヤリハット」はザラに発生していると考えるべきでしょう。

 DXは、なんでもかんでもデジタル化、IT化を進めるということではなく、「人間がそもそも不得意なことを抱え込んで・守って、機械化していないことがおかしい」「人や紙のほうが得意なことは、その長所を使える仕事に時間を使うべき」というところをどれだけ明らかにして、どれだけ忖度や一時の感情を捨てて、どれだけ効率化するか、というところにあるかと思います。

 今日のところはこんな感じです。

よろしければサポートお願いいたします。創作活動に役立てさせていただくほか、正しく確定申告し納税させていただきます。