• プロとして働く

2023.10.13 UP

知っておきたいセキュリティの基本Vol.7
セキュリティ事件ファイル その5

知っておきたいセキュリティの基本Vol.7<br>セキュリティ事件ファイル その5
※『通訳翻訳ジャーナル』2022 年冬号、特集「フリーランスのセキュリティ対策」より転載

フリーランスの場合、自分自身でPCやネット環境のセキュリティ対策を講じなければならない。
何をどこまでするべきか、どういう盲点があるか、知識をつけないことには始まらない。
IT 分野全般に詳しく、多くのフリーランス通訳者・翻訳者とやり取りしてきた「翻訳者ディレクトリ」の加藤隆太郎さんに、知っておくべき知識やよくあるトラブルを解説していただいた。

▶セキュリティ事件ファイル Case9

翻訳会社のオフィスに重要クライアントから単発案件の依頼がありました。ライフサイエンスの機密情報なので、セキュリティ対応のしっかりした翻訳者を一人だけ起用してほしい、と念を押されています。

この翻訳会社では、あらかじめフリーランス登録翻訳者に対して情報セキュリティに関するアンケート調査を実施し、指定ブランドのセキュリティソフトを使用しているか、OSは最新かの確認が済んでいます。3 人のフリーランス翻訳者がピックアップされました。G男さんは、ベテランで品質が安定していますが、保守的なところがあって、メーラーにサポート期限が切れたLive Mailを使い続けています。G 男さんは、そのことを翻訳会社に伝えていませんが、受信メールのヘッダー情報でメーラーの種類がわかるのです。

サポートが終了したLive Mailを使い続けている点が不安材料になり、G男さんは候補から外れました。H男さんは、中堅で品質も納期もまずまず安定、メーラーに問題はありません。メールアドレスも国内有名ISPの有料メールアドレスを使用しています。ところが実は、このメールアドレスに脆弱性がありました。メールが暗号化に対応しておらず、平文メールになってしまうのです。H男さんも候補から外れました。I子さんは、キャリアは浅いのですが、品質に大揺れがなく、一定の歩留まりが期待できます。アンケートの回答では、情報セキュリティに積極的に取り組んでいることをアピールしていました。メーラーに問題はなく、メールアドレスも暗号化されていることが確認できました。結局、機密保持の確実さが優先され、I子さんへのアサインが決まりました。

下請けのセキュリティも会社の責任

情報セキュリティへの取り組みは、自社内だけでなく、下請事業者まで含めた対策が求められる時代です。

この事例では、フリーランス翻訳者が対象になっていますが、ソースクライアントが発注先の翻訳会社を選別するときにも同様の選考プロセスがありそうです。実際のところ、Webサイトは暗号化されていてセキュリティ対応をうたっているのに、会社ドメインのメールアドレスが暗号化されていない「穴」のある翻訳会社がけっこうあります。そもそもメールの暗号化が何だか知らないところもあるでしょう。フリーランス、翻訳会社にかかわらず、業界全体としてセキュリティレベルの底上げが望まれます。

▶セキュリティ事件ファイル Case10

L 男さんの勤めるX 翻訳会社では、データをフリーランス翻訳者に直接渡さず、すべてリモートデスクトップで作業をしてもらう体制。翻訳者は自宅から社内に設置されたパソコンかクラウドサービスに接続して、リモートで作業を行います。フリーランス側にデータが残らないので安全性が高いという触れ込みです。社長は、セキュリティは盤石だと言いますが、実態は、出入りのSIer(エスアイヤー、ITシステムの開発と販売をする会社)のすすめるままに導入しただけで、社内に仕組みを理解して管理できる人がいません。この会社の規模ではセキュリティ専任の人材を雇用できません。L男さんは、社内の人が設定もできないシステムを使い続けることに不安を覚えていました。

あるとき、第三者のセキュリティ機関から警告が入り、X社から流出したデータが、ダークウェブで闇取引されているとのこと。情報漏洩の事件を起こすと、法的な報告義務があるため隠ぺいはできず、会社の信用に大きな傷がつきます。国によっては多額の制裁金を科せられることも。古株の社員によると「かつて大きな問題が発生したが、社長が下請けのフリーランスに責任を押し付けて乗り切った」という話です。今回は、そもそもフリーランス側にデータが残らないので、その手は使えません。X社はSIerに調査を依頼。すると、リモート作業システムの設定に初歩的なミスがあり、脆弱性が発生し、攻撃者に侵入されたという報告。L男さんの嫌な予感が的中したのです。社長のことですから、今度も責任を押し付けるため、魔女狩りを始めるのではないかと……。

フリーランスも セキュリティの知識を備える!

セキュリティ専門機関の調査によると、不正侵入事件の原因の6割が初歩的な設定ミス。高機能なリモート・システムを導入しても、使いこなせなければ、むしろ危険という事例です。この事例の会社では、リモート・システムを導入したものの、脆弱性診断を実施する予算がなかったようです。翻訳業界に限らず、一般に中小企業では、社内にセキュリティに精通した人材がおらず、脆弱性診断を専門業者に依頼すると高額な費用が発生するため、踏み切れない会社が大半だとか。

フリーランスは、こういう事件に巻き込まれないよう、日ごろからセキュリティ対策をしっかり実践し、身に覚えのない嫌疑に抗弁できるだけのセキュリティ知識を習得しましょう。20年ほど前、たまたま訪問していた会社で大きな契約不履行が発生しました。クライアントから説明責任を求められた経営者が、嘘を並べて下請けのフリーランスに責任を押し付けようとする現場に出くわしたことがあります。なんとも嫌な気分になりました。その会社は数年後に倒産しました。

翻訳者ディレクトリ 運営管理者 加藤隆太郎
翻訳者ディレクトリ 運営管理者 加藤隆太郎Ryutaro Kato

20代後半で翻訳学校に通い、独立開業。翻訳学校2校にて通算12年間通学講座の講師を務め、コース設計まで手がけた。深い業界知識を生かし、執筆、事業協力、コンサルティングなど、幅広く翻訳関係の業務に従事。多年にわたるディレクトリ管理者としての現場経験から、フリーランス目線でのセキュリティ問題に詳しい。
*翻訳者ディレクトリ https://www.translator.jp/