- 会員限定
- 2021/01/22 掲載
情シス担当者が業務で「社員のPCログ」を監視…問題はないのか?
システム管理とサイバー攻撃は、コインの裏表
終わりの見えないコロナ禍で働き方が大きく変わる中、企業はリモートワーク環境であっても社員が高いパフォーマンスを発揮できる環境を整えていかなければならない。その一環で検討の俎上(そじょう)にあがりやすいのが、社員のクライアント端末の「監視」である。そしてそれ自体は、そこまで難しいことではない。システム管理とサイバー攻撃は、コインの裏表である。突き詰めると、攻撃者が標的サーバで遂行するのは、システム管理者が実行するコマンド操作、プログラムの起動、OSやデータへのアクセスなどだ。同様に、正規プログラムとマルウェアの間にもコード上の本質的な違いはない。定量化できない「悪意」の存在を推しはかることでしか区別をつけられないのが現実だ。
したがって、情シス担当者やセキュリティ担当者、セキュリティベンダーは、ハッキングやサイバー犯罪で摘発されるリスクを潜在的に抱えていることになる。2019年、アイオワ州では、業務での侵入テストを行っていたベンダー技術者2名が逮捕されてしまう事件が発生している。国内では2017年に老舗ITベンダーが「Share(ファイル共有ソフト)」を保持していたとして検挙され、その後不起訴になっている。
このような事例は、攻撃技術に伴う対策技術の進歩、関連法の整備、システムの複雑化・高度化が進むほど、より顕在化する可能性がある。エンジニア諸氏、ITベンダーは文字通り他人事ではない。
なにげない管理業務の重み
1つの例で考えてみよう。2020年12月、プログラマーやシステム管理者を主人公としたマンガが、ソーシャルメディアで話題となっていた。あるインフラエンジニアがサーバのアクセスログをチェックしていて、上司や従業員の趣味や仕事ぶりを分析するという内容で、主旨は、業務外のネット利用は会社側が把握可能だということを伝えるものだ。もちろん、マンガの世界でありこの内容が直接問題になる要素はない。社内SEの女の子が社員のアクセス履歴をチェックする話💻(再掲) pic.twitter.com/nyHikvesxz
— ビタワン🐕脱サラちゃん②巻発売しました!☃️ (@vitaone_) December 16, 2020
ルートアカウントを持っていれば、アクセス制御がかかっているファイルの読み書きは可能だし、他人のメールスプールをのぞき込み、その内容を読んだり、書き換えたりすることも自由だ。システムはルートアカウントでログインされている(正規ユーザーとしてログインされている)ユーザーの操作を止める手だてを持っていない。マンガの表現は紛れもない事実でもある。
気になったのは、そのマンガに対する「違法行為だ」という書き込みに対して「何が問題なのか?」「業務上の適正な行為だ」という反応が少なからず見られたことだ。
もちろん、ネット上の発言や表現作品に対するコンプライアンス関連のコメントや批判は、無粋でありヤボではある。いわば作品コンテキストとは関係ない部分での議論だが、あえて取り上げたのは、ひょっとして、業務上でも個人や従業員のプライバシーに関わる情報の利用は違法性が高い、という認識が思ったよりエンジニアやシステム管理者に浸透していないのではないか、と不安になったからだ。
経営者も、「業務命令ならログ監視は問題ない」「就業規則に明記しているので問題ない」と思っているかもしれない。しかし、この解釈は安全ではない。
【次ページ】ログ解析は万能薬だが、「劇薬」でもある理由
関連コンテンツ
PR
PR
PR