【天下布武！】名前を奪いに来た転校生

第４章 防衛

４０７ シャドーＩＴ

　退職者(たいしょくしゃ)の認証情報(にんしょうじょうほう)を、適切(てきせつ)に無効化(むこうか)していない企業(きぎょう)は七割(ななわり)を超(こ)えているといわれている。

　情報漏洩(じょうほうろうえい)は、元々(もともと)関係者(かんけいしゃ)だった、退職者(たいしょくしゃ)から漏洩(ろうえい)するケースが多い。

　漏洩(ろうえい)させられるということは、侵入(しんにゅう)も可能(かのう)だということ。

　例えば、誰も把握(はあく)していないデバイス、ＵＳＢ(ユーエスビー)メモリにマルウェアを入れてパソコンに挿し込んだ場合、何が起きるか――。

　いくら出入口の警備(セキュリティ)を強固(きょうこ)なものにしても、自(みずか)ら乱波(らっぱ)を内部(ないぶ)に招(まね)き入れていれば、何の意味(いみ)も成(な)さない。

　内側(うちがわ)から簡単(かんたん)に、 攻撃(こうげき)することが出来てしまう。

　他(た)システムと連携(れんけい)させたり、利便性(りべんせい)を向上(こうじょう)させる拡張機能(かくちょうきのう)は、適切(てきせつ)に使えば便利(べんり)。

　でも、安全性(あんぜんせい)を担保(たんぽ)出来なければ、重大(じゅうだい)なセキュリティホールになってしまう。

「私が把握(はあく)してないものを使わないでください。わからないときは、尋(たず)ねてくだされば答(こた)えます」

「はい。有名(ゆうめい)なものでもダメですか？」

　ダウンロードして使える無償配布品(フリーウェア)や、試用期間があるもの(シェアウェア)には、スパイウェアプログラムを内蔵(ないぞう)することが可能(かのう)。

　つまり、知らないうちに情報収集《じょうほうしゅうしゅう》を始め、送信(そうしん)されるリスクがあるということ。

　使用承諾文(しようしょうだくぶん)にインストールされる旨を記載(きさい)し、利用者(ユーザー)が手動(しゅどう)でチェックを外さなければ、インストールされる仕組(しく)みにする。

　たったそれだけで『利用者(ユーザー)の意思(いし)により、インストールした』事実(じじつ)を成立(せいりつ)させられる。

　『安全のため』や『高速化(こうそくか)』、『最適化(さいてきか)』等、適当(てきとう)な言葉(ことば)を並(なら)べたものに釣(つ)られるような人間(にんげん)は、使用承諾文(しようしょうだくぶん)を読まない。

　まさに格好(かっこう)の餌食(えじき)。

　スパイウェアをインストールさせる手法(しゅほう)は、いくらでもある。

　例えば『はい』と『いいえ』、二つのボタンのどちらを押してもスパイウェアのダウンロードが始まる仕組(しく)みにする。

　二つのものを同じ挙動(きょどう)にする合理的(ごうりてき)な理由(りゆう)は無いのだから、 指摘(してき)されたとしても『バグです』と言い逃(のが)れられる。

　『わざと、そんなことをするはずがない』と主張(しゅちょう)すれば、第三者がそれを否定(ひてい)することは難(むすか)しい。

　ただ、そんなことを伝えても、恐怖心(きょうふしん)を煽(あお)り、疑心暗鬼(ぎしんあんき)にさせるだけ。どう伝えるべきか――。

「そうですね。使ってはいけないという意味合いではなく、見えるところで堂々(どうどう)と使ってくださいという意図(いと)です。なので、まず尋(たず)ねてください。主(おも)な目的(もくてき)は情報漏洩(じょうほうろうえい)リスクの抑制(よくせい)です。例えば、何かと連携(れんけい)すれば、連携先(れんけいさき)は紐付(ひもづ)いているデータを抜き取ることが可能(かのう)になります。つまり連携先(れんけいさき)の判断(はんだん)で機密情報(きみつじょうほう)を、知らない何処(どこ)かへ共有(きょうゆう)することも出来てしまうということです」

「なるほど……それはダメですね」

「厳(きび)しく規制(きせい)するのが、リスクマネジメントとしてはベターです。でも『生産性(せいさんせい)が……』等の反発(はんぱつ)が大きく、無許可(むきょか)で勝手(かって)に使用(しよう)されるようならば、申告(しんこく)すれば使えるといった緩(ゆる)い形式(けいしき)で運用(うんよう)し、勝手(かって)に使われることを抑止(よくし)する方(ほう)が、幾分(いくぶん)か良いです。有事(ゆうじ)の際(さい)、被害(ひがい)は被(こうむ)りますが、影響範囲(えいきょうはんい)を知ることは出来ます」

「いやぁ、それは……」

「では、勝手(かって)に使わせないでください」

「そうします」