セキュリティ事故が起こった場合、どのような対応がなされ、どのように関係者の意識が変化するのか――当記事は、ある組織で起こったセキュリティ事故に立ち向かう人物たちの架空の物語である。セキュリティ対策室を立ち上げた矢先のA社だが、九州営業所では小さな油断が生まれ始めていた。
第1章 油断と潜伏 地方の支社に届いたメール
登場人物
八街 明(やちまた・あきら) (26歳) 九州営業所営業担当 お調子者
真坂 晋太郎(まさか・しんたろう) (26歳) 本社営業本部。八街と同期 エリート、真面目
丸上 泡也(まるうえ・あわや)
A社に訪れるいつもの朝、いつもの業務。業績好調のA社は毎日忙しい日々に追われていた。特に仕入れ担当の部門や営業部門、カスタマーサポート部門については、社員一人ひとりが毎日100通前後のメールを業者やクライアント、一般の利用者とやりとりしている。メールは重要なコミュニケーションプラットフォームの一つだ。
社内の連絡にもメールが多用されており、部門別、サービス別にメーリングリスト(ML)が使用されている。昨今メール以外のコミュニケーションツールとしてメッセンジャーアプリ(FacebookやLINEなど)もあるが、顧客とのやりとりや社内連絡など、メールはいまだに重要な役割を担っている。
とある朝、九州事業所の営業担当である八街は、前日の接待で深夜まで痛飲していたため二日酔いで足元がおぼつかない状態で出社し、いつものように寝ぼけた頭でたまっていたメールを一つずつチェックしていった。
八街「さぁてと……、今日も売り上げあげますかっと……。カチカチッ(ダブルクリックしてメーラーを起動)」
10数件程度のメールをチェックし終えるのにそれほど時間はかからない。八街に届いていたメールは、
- 得意先からのメール
- 社内の連絡
- MLで流れる情報共有のメール
- ネットショッピングの注文確認のメール
- メールマガジン
それ以外には広告のメールばかりだ。八街はおぼつかない手つきでマウスを操作し、カチカチとクリックしながらメールを開き、内容を見ていく。ネットショッピングの注文確認のメールには内容を確認するための添付ファイルが付いていた。八街は特に考えもせずに添付ファイルを確認しようとダブルクリックして開いたのだった。
八街「なんだぁ? いつもは注文確認の添付ファイルなんてないのに。まぁいいか。この間買った本だろう」
開いた添付ファイルは、確かに八街がよく利用するショッピングサイトからの注文確認書だった。いつもそのショッピングサイトでは電子書籍や映画のDVDや趣味のジョギングに使用するスポーツ用品を購入していたが、送られてきた注文確認書には書籍とDVDが1つずつ、記載されていた。八街はそれらを購入した覚えはなかった。そして、注文の日付も八街がそのショッピングサイトにはアクセスしていない日付だった。これらの異変だけではない。メールそのものにも気付くべき点が複数存在していたのだったが、八街は二日酔いと寝不足によって寝ぼけていたため、おかしいと思いながらも添付ファイルを閉じて、寝癖でボサボサのままの頭をかきながらリフレッシュコーナーへ向かった。出社後は必ず砂糖がたっぷり入った甘い缶コーヒーを飲まずにはいられないのであった。
それとほぼ時を同じくして、八街の同期入社であり同じ九州出身でありながら本社の営業本部で出世街道を歩んでいた真坂は、2週間前の週末に行ったBBQの写真を得意先の担当である◯◯からメールで受け取っていた。真坂は八街とは正反対で几帳面でマメな性格であり、得意先に対するメールや電話でのフォローは欠かさず行っていた。真坂は早速メールに添付されていた写真ファイルを見てみようと、添付ファイルを開いてみたが、謎のエラーメッセージが表示されるだけで、開けなかった。真坂は「途中でファイルが壊れたかな? たぶんSNSで投稿されていたあの写真だろうし、お礼のメールを書いておこう」と、◯◯へメールを書き始めた。
「◯◯さんへ
先日はありがとうございました。
とても楽しいBBQでしたので、ぜひまた開催しましょう!
(中略)
では、またご連絡させていただきます。
追伸:添付いただいた写真は壊れていて開けなかったのでSNSの方で写真を見ました!
A社 真坂」
真坂にとってはこういうマメなメールを返すことが、取引先との信頼関係をつくれると思っていた。週末も積極的に連絡を取り合い、得意先との食事では必ず写真を撮ってSNSで共有していたのである。
真坂からのメールが送信された日、得意先の◯◯はちょうど休暇を取っていてすぐにはメールを見ることができなかった。数日後になっても忙しくて返信をしている時間もなく、真坂に対してメールした覚えもなく、ましてや添付ファイルで写真など送った記憶もなかったが、そのままにしてしまっていた。
八街と、真坂、同時期に届いた2つのメール。これがA社にとって社を揺るがす大きな事故へとつながってしまうとは。2人にとっては、まさか自分にこのようなメールが届くとは思ってもいなかったことだろう。
一方、本社セキュリティ対策室の丸上は、セキュリティ対策としてリストアップしていた幾つかの施策のうち、メールに関する対策を進めていた。
丸上「スパム対策、誤送信対策、送信時のルール制定、添付ファイルの暗号化ルール、あとは証明書を使った署名と暗号化も検討しよう。それと、やっぱり標的型メール対策はやっておかないと! これは社員への啓蒙が必要になってくるので教育用のコンテンツを作る必要があるな……。最近はカタイ企業だと上司が部下の送信メールを全部見て承認しないと送れないようにする仕組みもあるようだけど、ウチはそこまでしなくても大丈夫かな」
その中でも最近特に注意する必要がある標的型メール対策について、丸上は次のような教育用資料を作成し、社員に対して集合研修を行う計画を立てた。
九州支社と本社の2人の営業が不審なメールを受け取って3カ月後、本社では社内研修が始まっており、支社へと広がりを見せていたが、一方で、予想を上回るスピードでA社は何者かに侵食され始めていったのだった……。
