知っておきたいセキュリティの基本Vol.7
セキュリティ事件ファイル その5

翻訳会社のオフィスに重要クライアントから単発案件の依頼がありました。ライフサイエンスの機密情報なので、セキュリティ対応のしっかりした翻訳者を一人だけ起用してほしい、と念を押されています。

この翻訳会社では、あらかじめフリーランス登録翻訳者に対して情報セキュリティに関するアンケート調査を実施し、指定ブランドのセキュリティソフトを使用しているか、OSは最新かの確認が済んでいます。3 人のフリーランス翻訳者がピックアップされました。G男さんは、ベテランで品質が安定していますが、保守的なところがあって、メーラーにサポート期限が切れたLive Mailを使い続けています。G 男さんは、そのことを翻訳会社に伝えていませんが、受信メールのヘッダー情報でメーラーの種類がわかるのです。

サポートが終了したLive Mailを使い続けている点が不安材料になり、G男さんは候補から外れました。H男さんは、中堅で品質も納期もまずまず安定、メーラーに問題はありません。メールアドレスも国内有名ISPの有料メールアドレスを使用しています。ところが実は、このメールアドレスに脆弱性がありました。メールが暗号化に対応しておらず、平文メールになってしまうのです。H男さんも候補から外れました。I子さんは、キャリアは浅いのですが、品質に大揺れがなく、一定の歩留まりが期待できます。アンケートの回答では、情報セキュリティに積極的に取り組んでいることをアピールしていました。メーラーに問題はなく、メールアドレスも暗号化されていることが確認できました。結局、機密保持の確実さが優先され、I子さんへのアサインが決まりました。

L 男さんの勤めるX 翻訳会社では、データをフリーランス翻訳者に直接渡さず、すべてリモートデスクトップで作業をしてもらう体制。翻訳者は自宅から社内に設置されたパソコンかクラウドサービスに接続して、リモートで作業を行います。フリーランス側にデータが残らないので安全性が高いという触れ込みです。社長は、セキュリティは盤石だと言いますが、実態は、出入りのSIer（エスアイヤー、ITシステムの開発と販売をする会社）のすすめるままに導入しただけで、社内に仕組みを理解して管理できる人がいません。この会社の規模ではセキュリティ専任の人材を雇用できません。L男さんは、社内の人が設定もできないシステムを使い続けることに不安を覚えていました。

あるとき、第三者のセキュリティ機関から警告が入り、X社から流出したデータが、ダークウェブで闇取引されているとのこと。情報漏洩の事件を起こすと、法的な報告義務があるため隠ぺいはできず、会社の信用に大きな傷がつきます。国によっては多額の制裁金を科せられることも。古株の社員によると「かつて大きな問題が発生したが、社長が下請けのフリーランスに責任を押し付けて乗り切った」という話です。今回は、そもそもフリーランス側にデータが残らないので、その手は使えません。X社はSIerに調査を依頼。すると、リモート作業システムの設定に初歩的なミスがあり、脆弱性が発生し、攻撃者に侵入されたという報告。L男さんの嫌な予感が的中したのです。社長のことですから、今度も責任を押し付けるため、魔女狩りを始めるのではないかと……。