人気記事
注目度の高い記事
NEWS FEED
今日の話題を、1分で追えるニュースまとめ
NEWS FEED
今日の話題を、1分で追えるニュースまとめ
注目度の高い記事
# Slackセキュリティ侵害スレ主
日経新聞の個人情報流出事件を斬る
ずん
日経が情報流出って、マジでウケるのだ。経済のプロが経済損失出してどうすんだよ!
やきう
ワイも笑ったわ。情報セキュリティの記事散々書いといて、自分とこがやらかすとか最高のギャグやんけ。
でぇじょうぶ博士
まあまあ、落ち着くでやんす。今回の件は個人PCのウイルス感染が原因でやんす。つまり、社員が家のPCで怪しいサイトを見てたら、認証情報が盗まれたってわけでやんすね。
かっぱ
個人のPCで業務用アカウント使うとか、アホちゃうか。そら漏れるわ。
ずん
でもさ、1万7000人分って結構ヤバくないのだ?ボクのメアドとか流出したら、スパムメールで埋まっちゃうのだ。
やきう
お前のメアドなんか誰も欲しないやろ。価値ゼロや。
でぇじょうぶ博士
実はSlackの情報流出は近年増加傾向にあるでやんす。なぜなら、Slackには会社の機密情報から個人のゴシップまで、あらゆる情報が詰まってるでやんすからね。泥棒にとっては宝の山でやんす。
かっぱ
それにしても、9月に気づいて12月に発表って遅すぎやろ。その間に何しとったんや。
ずん
きっと社内会議で『どう発表するか』を3ヶ月議論してたのだ。さすが大企業!
やきう
会議で問題が解決するなら、日本は世界一安全な国になっとるわ。
でぇじょうぶ博士
興味深いのは、報道機関の個人情報は個人情報保護法の適用外という点でやんす。つまり法的には報告義務がなかったのに、自主的に報告したでやんすね。これは評価できるでやんす。
かっぱ
当たり前やろ。報告せんかったらもっと叩かれるわ。
ずん
でも取材情報は漏れてないって言ってるけど、本当なのだ?だって全部のチャット見られたんでしょ?
やきう
『確認されていない』ってのは、『見つかってない』だけで『漏れてない』とは言ってないんやで。政治家の答弁と同じやんけ。
でぇじょうぶ博士
鋭いでやんすね。実際、チャット履歴が流出してるなら、どんな情報が含まれてたかは正確には把握できないでやんす。『◯◯社の不正会計をスクープする』みたいなメッセージがあったかもしれないでやんすからね。
かっぱ
それ、インサイダー取引に使われたらエライことやで。株価操作し放題やん。
ずん
うわぁ...じゃあ今頃、闇の世界で日経の情報が高値で取引されてるのだ?
やきう
お前の想像力だけは評価するわ。まあ、あながち間違いでもないやろな。
でぇじょうぶ博士
問題の本質は、多要素認証(MFA)を導入してなかったことでやんすね。パスワードだけで認証できたから、盗まれたらおしまいでやんす。まるで家の鍵をSNSに投稿するようなもんでやんす。
かっぱ
そんなアホおらんやろ...って思ったけど、結果的に同じことしとるな。
ずん
じゃあボクも多要素認証とやらを設定すればいいのだ?
やきう
お前、そもそも守るべき情報あるんか?スマホの中身、ゲームとSNSだけやろ。
ずん
...(図星)
でぇじょうぶ博士
今回の件で学ぶべきは、『人間が最大のセキュリティホール』ということでやんす。どんなに強固なシステムを作っても、社員が個人PCで業務アカウントを使ったり、怪しいリンクをクリックしたりすれば、全てが台無しでやんすからね。
かっぱ
結局、技術の問題やなくて人間の問題ってことやな。
ずん
人間がダメなら、AIに任せればいいのだ!
やきう
お前みたいなアホがAI使ったら、余計にヤバいことになるやろ。
でぇじょうぶ博士
実は、AIを使ったセキュリティ対策も進んでるでやんす。不正アクセスのパターンを学習して、リアルタイムで検知できるでやんすね。ただし、AIも完璧じゃないでやんす。誤検知で正規ユーザーをブロックしたり、逆に新しいタイプの攻撃を見逃したりするでやんす。
かっぱ
結局、銀の弾丸はないってことやな。地道な対策の積み重ねしかないわ。
ずん
つまんないのだ...もっと派手な解決策はないのだ?
やきう
あるで。全社員を無人島に隔離して、インターネット禁止にすればええんや。
ずん
それ、会社として成立しないのだ...
でぇじょうぶ博士
まあ、今回の日経の件は氷山の一角でやんす。報道されてない同様の事件は、山ほどあるはずでやんすよ。企業は自社の評判を守るため、できるだけ公表したくないでやんすからね。
かっぱ
そう考えると、日経が公表したのは偉いな。自分とこの恥を晒すのは勇気いるわ。
ずん
でも結局、『再発防止に努めます』って言うだけで、具体的に何するか書いてないのだ。いつものパターンじゃん!
やきう
まあな。『深刻に受け止め』とか『徹底します』とか、中身のない謝罪文の典型やわ。テンプレあるんちゃうか。
でぇじょうぶ博士
テンプレは実際にあるでやんす。危機管理コンサルタントが用意してる定型文でやんすね。『深くお詫び』『徹底的に調査』『再発防止』の三種の神器でやんす。
かっぱ
神器って...もはや儀式やな。実効性より形式重視や。
ずん
じゃあボクが日経の社長だったら、どうすればよかったのだ?
やきう
まず、お前が社長になった時点で会社終わっとるわ。
でぇじょうぶ博士
真面目に答えるなら、まず全社員のアカウントを一時停止して、多要素認証を強制導入でやんす。そして個人PCでの業務利用を禁止、または厳格な管理下に置くでやんすね。さらに、定期的なセキュリティ研修を実施して...
ずん
長い!3行でまとめるのだ!
やきう
1行でええやろ。『もっと早くやれ』や。
かっぱ
ほんまそれな。事件起きてから慌てるとか、小学生の夏休みの宿題かよ。
ずん
ボクも夏休みの宿題は最終日にやるタイプなのだ...企業もボクと同じレベルってことは、ボクも出世できるのだ!
やきう
その理論はおかしいやろ。むしろお前が出世できん証拠や。
でぇじょうぶ博士
とはいえ、セキュリティ対策にはコストがかかるでやんす。中小企業なら尚更でやんすね。専門家を雇う余裕もないし、社員教育の時間もないでやんす。だから、こういう事件は今後も繰り返されるでやんすよ。
かっぱ
悲しいけど、それが現実やな。金か時間、どっちかは犠牲になるわ。
ずん
じゃあボクは何もしなくていいのだ?どうせ防げないなら諦めるのだ!
やきう
その開き直り、ある意味すごいわ。でも、お前の個人情報なんか流出しても誰も困らんから、まあええんちゃう。
ずん
ひどいのだ...でも確かに、ボクの情報に価値なんてないのだ。むしろ流出させて、スパム業者に『こいつ貧乏すぎて詐欺する価値なし』って思わせる作戦なのだ!
本社に不正ログイン、個人情報流出か 外部から「Slack」に - 日本経済新聞引用元:https://www.nikkei.com/article/DGXZQOUD28CC40Y5A021C2000000/