ホーム > mixiニュース > IT・インターネット > IT総合 > 退職後に突然「不正」を疑われないために、潔白な社員が今やっておくべきこと

退職後に突然「不正」を疑われないために、潔白な社員が今やっておくべきこと

0

2019年03月12日 07:12  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真写真

 春はお別れの季節。多くの人が次の挑戦へ旅立っていきます。ことIT業界においては、いろいろな理由で転職をする際に“退職エントリー”と呼ばれるブログ記事を書いていく風習(?)があります。そんな話を編集部でしていたら、私の古巣である@ITで「退職エントリーを書かれる前に実践したい、エンジニアが辞めないチームの作り方」という記事が公開されていました。特にエンジニアは、なかなか採用できない貴重な人材ですので、人材不足にお悩みのマネジャーはぜひご一読を。



いったん共有してしまったパスワードのおかげで、インシデント後に容疑者が100人以上……なんて展開はぜひとも避けたいですよね



 “終身雇用”という言葉がもはや幻想になりつつあるいま、人の出入りは止められません。基本的には退職や異動が円満に進むことを誰もが願っているはずです。今回は、異動や退職の前後に思わぬトラブルに見舞われないようにするために押さえておくべき“ITセキュリティ的に重要なポイント”を見直してみましょう。



●システムの“リスク”を見直そう――従業員に異動、退職される側に必要な作業



 まずは“従業員に退職される側”の心構えを。特に中小企業の多くでは、どうしても運用プロセスの中で「共通パスワード」を扱う場合があると思います。例えば、システム管理を行う上で、サーバの管理者IDとパスワードを1組しか用意せず、それをみんなで共有しているパターンです。システム管理に限らず、部内で共有するサービスなども似たような運用を行っている場合もあるかもしれません。



 この方法は、平常時ならば問題ないかもしれませんし、簡単かつ配慮すべき点も少なくて済む手法でしょう。が、そこにメンバーの出入りが絡むと、困ったことになります。部署を異動したり、退職したりしたときに、その人の「記憶」を消すことはできません。そのため、その組織とは無関係になった人も、システム管理のための重要な権限を把握したままになってしまうのです。



 もし共通パスワードを使った運用をしている場合、何らかの不正アクセスや内部不正が起きた場合、当然ながら攻撃者はその共通パスワードを使って侵入することになります。そうなると、「共通パスワードを持った人=組織の全員」が容疑者になってしまい、調査に当たって社員や元社員を疑わざるを得なくなるわけです。当然ながら士気も落ちるでしょう。そのため、いくら小さなシステムであったとしても、企業、組織の規模に関係なく、共通パスワードによる管理はやめた方がいいのです。



 そして心配なのが、特に中小規模の企業で「家庭向けの無線LANルーターをそのまま使っている」場合です。実はこの場合も、上記の共通パスワード問題が発生します。例えWPA2などで暗号化したとしても、そのパスワードがPSK(Pre-Shared Key)ですと、暗号鍵が全員共通なので、異動、退職者がパスワードを知ったままの状態になっているはずです。この場合は“無線”ですので、悪意ある退職者ならばオフィスに近づいて、勝手にネットワークに接続できてしまうかもしれません。さらにその先にあるシステムも共通パスワードで管理されているものであったならば……結果は推して知るべしです。



 一方、自分が退職、異動をする立場になった場合はどうでしょう。例えば、自分がもといた会社でセキュリティインシデントが発生してしまったとして、潔白であるにもかかわらず疑いをかけられるような事態は何としても避けたいものです。今からできる対策を見ていきましょう。



●ある日突然、疑いをかけられる前に――異動、退職する側の作業



 では次に、異動する側や退職する側に必要な作業を考えてみましょう。ITとは無関係なところでも、業務上知り得た情報の取り扱いなどに関してやりとりがあると思います。IT関連の部分についても「立つ鳥跡を濁さず」を実践し、退職や異動のプロセスを可能な限り円満に進めることを念頭に置きたいものです。



 例えば、パスワードという切り口から整理するならば、あなたが知り得る共通パスワードを利用したシステムを洗い出し、会社に対して指摘するということを最後の仕事として残していくのはいかがでしょうか。こういった運用は、何らかのきっかけがないと変わらないものです。そのきっかけが「内部不正」であるというのは不幸なこと。その前に、ぜひあなたが変えてほしいのです。



 そして「李下に冠を正さず」。退職が決まった後は特に、普段と異なるやり方で「情報を検索する」「情報を大量にダウンロードする」などの行為に気を付けるべきかもしれません。「普段と違う」行為で、かつ何かを「大量に」動かすという条件が重なった場合、内部不正行為としてアラートが上がる可能性があるためです。



 進んだ仕組みを持つ企業であれば、そのような従業員の普段と違う行為をしきい値によって判断し、怪しい振る舞いを検知できるような仕組みを持っているはずです。最近では機械学習を活用し、「UEBA(User Entity Behavior Analytics)」などというソリューションとしても注目されている分野です。



 個人的には、“退職エントリー”を書きたい気持ちはグッと抑えて、ここまで紹介したような作業に注力していけば、会社との間でほんの少しでも良い関係を迎えられるのではないかと思っています。



●内部不正が次々と明らかになっている今だからこそ、できること



 私はあくまでドラマや他人からのまた聞きでしか知りませんが、欧米で会社を退職することになった人の中には「朝出社してみたらレイオフされていた」「1時間以内に荷物をまとめて退出せよと言われた」といった、日本では想像のつかないような壮絶な経験をするケースもあるようです。こうしたことは恐らく、元従業員が首を切られた腹いせに情報を盗むなどといったリスクを極限まで減らすための方策なのかもしれません。その意味では、日本の社会はまだ性善説の上に成り立っていられるのが現状です。



 しかし日本国内においても、賃金や待遇への不満をきっかけにした内部不正や、ちょっとした不正が指摘されなかったことから徐々にエスカレートしてしまったケースなど、さまざまな事件が表面化しつつあるのも事実です。2014年にベネッセで発生した個人情報流出事件も、きっかけは内部不正でした。



 特に退職、異動というイベントについて、これからは日本においても「内部不正が始まるきっかけ」になり得ると認識し、企業規模にかかわらず対策を考えることが重要です。現場のマネジャーはコミュニケーションとケアで対処しつつ、組織としてはIPAの「組織における内部不正防止ガイドライン」を参照しつつ、内部不正対策を粛々と進めることを検討してみてください。


    あなたにおすすめ

    ニュース設定