はじめに
昨日(10/19)、情報セキュリティ大学の内田勝也名誉教授が主催するセキュリティ心理学の研究会に参加した。今回の講師は、都内の某区で顧客情報の流出防止に奔走している某公務員で、その奮闘ストーリがテーマだ。

顧客情報の保護
区役所にとっての顧客情報とは、区民情報だ。これらの情報の保護を図ることは顧客＝区民を守ることだが、同時に重要なことは区役所に勤務する公務員を守ることだ。区役所の公務員が適切な目的と適切な操作で処理を行っていたことを証明できない限り、疑義が生じた時には、疑惑を晴らせない公務員や派遣社員は勤務を継続できないのが実態だという。

疑わしきは罰せず
日本の法律では、「疑わしきは罰せず」のはずだ。特に、刑事事件においては、検察側が有罪の証拠を示すことが求められる。しかし、例えば、100人の操作者のうち80人は無実を証明できたとする。残る20人は残念ながら無実の証明ができなかったとする。過去のトラブル事例では、問題が起きた時に無実を証明できない人は諭旨退職となったという。諭旨退職は、懲戒解雇よりは温情的ではあるが、有罪でないかもしれない人も対象となる悲劇だ。

IDカードの差しっぱなし
講師の説明によると区民では操作する時には、必ず自分のIDカードをセットして操作するルールになっている。しかし、抜き差しするのが面倒ということや課長の監視のもとで派遣社員に業務を依頼する時に、カードを差しっぱなしにするようなことがあったという。この場合、そのようなゆるい運用実態の隙をついて顧客情報を持ち出した人間が犯人だが、その手口は巧妙だ。また、本人の管理の甘さが招いたインシデントとして、課長は当然罰を受ける。

探偵事務所からの依頼
講師の説明によると、末端で顧客情報を持ち出す人は、ほぼ低所得の待遇の人間であり、その依頼元は探偵事務所だという。探偵事務所が第三者に顧客情報を違法に持ち出すことを指示した場合にはこれは真っ黒で有罪だろう。

探偵事務所のクライアントは有罪か
探偵事務所が何かを調査する時には必ずクラアントがいる。それは一般の民間人かもしれないし、雑誌の出版社かもしれない。政治家もしくは政治家から指示を受けた人かもしれない。しかし、そのようなクライアントが探偵事務所に調査を依頼することは合法なのだろうか。講師によると、これを有罪にするような法令は残念ながらないという。インシデントや犯罪の未然防止には元原因に対処する必要があるが、マスメディアも政治家も一筋縄ではいかない。これはムズイ。

ユーザー行動分析（UBA:User Behavior Analysis）
顧客情報の不法流出を阻止するために有効なツールとして最近関心が高まっているのがUBAだ。UBAは、人間の行動パターンに基づくサイバーセキュリティプロセスだ。代表的なものはSPLUNKであり、最近急成長しているのがEXABEAMだ。下の図は横軸が供給力、縦軸がベンチャーキャピタルの関心度だ。

　出典：https://www.quora.com

SPLUNK
Splunk(スプランク)とは洞窟探検(Spelunking)が語源だ。Splunkは、2003年に設立した。Splunkは2007年までに4千万ドルを売り上げ、2009年には収益が黒字に転じている。講師からの依頼に対しても、AI機能付きSIEMと要求機能をマイクロサービスで実現可能だという。基本システムは比較的安価でかつ安定稼働も期待できる。問題は学習や設定に時間がかかる点だ。
　出典：Splunk(スプランク)とは | 今までにないソフトウェア会社

EXABEAM
EXABEAMでは、講師が求める機能はほぼ網羅していた。機械学習やルール設定が不要なのが素晴らしい。最大の特徴は利用者の行動パターンを分析することだ。利用者の行動が時系列に記録され、利用者ごとのスコアが表示される。しかも、その利用料金は利用者数×単価だ。問題は、日本語対応が未定な点だ。また、まだ若い企業なので経営面や保守継続性に不安がある点だが、これらは大きな問題ではないだろう。ネットで調べるとマクニカネットワークスが販売代理店となっている。

企業内CSIRT
セキュリティインシデントが発生した場合に迅速な対応をすることと同時に、そのようなインシデントを発生しない仕組みが必要だ。それは被害者を発生させないと同時に加害者を発生させないことになる。犯罪者を罰することは必要だが、そもそも犯罪者が発生しないような仕組みを充実させることが大切だと主催者の内田さんはとく。

まとめ
情報セキュリティの問題と建設現場での安全管理と学校のいじめ問題は表面的には全く異なる。しかし、その構造は同じだ。重要なこともインシデントの未然防止だと思う。

以上