ぴよこ☆くらふと☆わ〜くすVersion令和

PEUGEOT3008と車中泊とサウナが好き。

HDD流出事件を見て再発防止を考える

www.asahi.com

身近なところでも知人が働く会社がジャストなうでここを使っていて、まさに数か月後に大量の廃棄PCを渡そうとしていたとかぞっとするような話も聞いたりする何かと話題のこの事件

 

知人と話をしていたときは「大変やなぁ総務はwww」と大笑いしていたら、自分の職場でも過去に取引がないか調査する&同様の事象への対策を考えろともろに火の粉が降り注ぐ(´;ω;`)ブワッ

 

もうやめて!中の人の残業時間はもう法令違反になりそうなのよ!!

 

なので・・・思うところを愚痴ベースに書いてみる。

そもそもこの事件って?

当社が保管していた、ハードディスクなどの記憶媒体やケーブル・イヤホンなどの電子機器が外部
に持ち出され、オークションサイトにて転売されていた事実が外部からの情報提供により、11 月 27 日
(水)に発覚いたしました。

https://www.broadlink.co.jp/info/pdf/20191209-01-press-release.pdf

シンプルに書けばどこでもある(だめなんだけど)社内に保管されている資産の横領。

 

それがたまたま廃棄を頼まれたHDDで、たまたま転売された先で、たまたま復元を試みた人がいてたまたま神奈川県の持つやばい情報がいっぱいで発覚したと。

 

偶然が重なった結果たぶん過去にない大規模な漏洩という話になりました。

 

❚HDDの中身、完全には消えない問題

piyoco-craft-works.hateblo.jp

NASが壊れた話が以前、前職の勤務先から出てきましたが物理的にクラッシュしたとかでなく単純にフォーマットしたくらいだと割と簡単に復元できるんですよ。

 

完全データ復元PRO15

完全データ復元PRO15

  • 出版社/メーカー: ジャングル
  • 発売日: 2016/04/14
  • メディア: CD-ROM
 

前職で不正(横領)を働いた従業員がフォーマットしたPCを復元して証拠集めしたりするのに市販のソフトが役立ったので完全に消えないというのは調査する側としてはラッキーですが、ユーザー側からするとたぶん最悪。

 

それくらいに普通の人はフォーマット=完全削除だと思っているので被害者?である神奈川県としても寝耳にウォーターだったのかもしれない。

 

ちょっと管理責任者としては意識が低い。

 

フォーマットが完全に消えたことにならないのか、技術的な説明はぐぐろうね。

 

❚安易に持ち出されたHDD問題

行政と取引があるだけあって、規模的にはかなりのものな今回の業者。

 

社長の出自などを考えるとかなりの大口顧客もおり、故にとんでもな大騒ぎになっています。

 

当然大企業や行政ではその企業と取引を行う際に、反社チェックや信用調査、実地調査はしているはずです。自分も前職で似たような廃棄業者と取引する際に、作業現場の見学にも行きました。

 

なので利用にあたり最低限のチェックは行われ、問題がないと判断されたのです。

 

今回も持ち出し防止策は取られていたとプレスリリースでも触れられています。

 

1. カードキーと指紋認証による入退出
└入荷エリア・・・カードキーによる入退出
└データ消去室・・・カードキーと指紋認証による入退出
└梱包と出荷エリア・・カードキーによる入退出

2. 入退出ログ管理
└誰がいつ入退出したか社員固有IDキーと
指紋認証で紐付けしています。

3. 24時間監視カメラ
└監視カメラにより24時間録画しております。

4. 1台1台の個体管理
└個体に管理番号と管理バーコードラベルを貼付けし、1台1台の入荷から
データ消去、出庫まで荷物の個体管理をしています。

5. 私物管理(持ち込み・持ち出し防止)
└設備内に私物を持ち込まないように専用ロッカー設置し、
持ち出し防止に手荷物検査をしています。

6. 開閉アラーム警報
└1分間開いていたら警報を発します。

7. ポケット縫い付け専用ユニフォーム
└ポケットが縫いつけられている
専用ユニフォームを着用しています。

https://www.broadlink.co.jp/info/pdf/20191209-03-press-release.pdf

 

7段階の防止策があります。

 

元社員が入社した 2016 年 2 月以降、ネットオークションに出品され、落札された総個数
は「7,844 個」となります。
調査の結果その内、記憶領域の有る商品が「3,904 個」確認いたしました。-①
元社員が入社以降、当社にて取扱のあったアイテム総数は「約 3,212,415 個」-②記憶領域があり、条件に該当する商品を、現在「228,832 個」-③まで絞り込みを行いました。

https://www.broadlink.co.jp/info/pdf/20191209-02-press-release.pdf

 

3年で7800個とすると年間2600個、一日あたり8個を持ち出す単純計算になり、そうなるともはやこの管理体制はまったく機能していないことになります。

 

廃棄業者の視察に行った際、今回と同じような体制はとっていると説明を受けましたが、24時間監視・録画って別に四六時中人が張り付いて見ているわけじゃないです。問題が起きたらログから追えますが、逆を言えば問題が起きなければ映像もログも見返す手間はかけないでしょう。今回も録画もログもただ取られていただけに過ぎません、ってそういうものだしね・・・あくまで事後作業のため。

 

 

手荷物検査だってどうせそこまでしっかりとは見ていなかったでしょう。遊園地などと同じでちらっと見せて終わりなら持ち出す方法はいくらでもあります。 

 

入社後すぐの従業員がそれだけのことを行えるということは、誰でもそんな厳格な管理はされていないと知れる環境があったというのもどうかと思います。

 

容疑者は人目につかない早朝にやっていた、簡単にできたとも供述しているようですがこれだけの数を持ち出せるので本当イージーモードだったんだろうなぁ。。。

 

今回の容疑者だけが行っていたとも思えないので、実際はもっとあったんだろうね・・・と疑いたくもなります。

 

❚ユーザー側は業者選びで何を気を付ければよいのか

企業側を100%信用することはもはやできない、では自衛のために我々利用者側はどうすればいいのかってそんなのもうひとつしかない、業者を信じず自分で破壊する。

 

ただ業者を使わなければいけない状況があるのであればという大前提で考えてみるとどこまで持ち出し防止をしっかりやっていますと言われようが、運用するのが人間である以上、完璧であるという保証にはなりません。

 

現場従業員は優れたシステムで持ち出しができなくなるかもしれませんが、例えばシステム管理者がやろうと思えばログの消去や映像消去、探知機を一時的に停めるなどできるはずで別なリスクが生まれます。

 

そんな突っ込みを廃棄業者視察のときにすると自分のように嫌な顔されます(ぉ

 

そして最後におなじみ定期的な教育をしています!が出てくると。。

 

横領をしようとする人間にとってそんなの意味ないですよとw

 

自分も横領は犯罪だぜ!って数ヶ月に一度全社員に言ってたけど自社では550万円横領されたけどな(´;ω;`)ブワッ

 

性善説運用を好む人は多いかもしれませんが、自分はもともとが不良なので犯罪者目線で物事を考えてしまうため性善説は嫌いです。

 

人は絶対に悪さをするし、法を犯し自分の都合を優先する

 

その自分都合の優先をトリガーにして不正が起きると自分は考えています。

 

いやいや違うだろって言われますが、じゃあ誰もみんな信号無視もしたことがなければ法定速度はただの1km/hも超えたことはないのか、本当に正しいことばかりの人生を送れているのかと言いたくなります。

 

信号無視や速度違反だって言ってしまえば自分の都合でしょう?

 

窃盗や横領だって同じようなものです。

 

お金が必要だから、ストレス、会社への不満・・・

 

結局のところはただの自分勝手な自分都合でしかありません。

 

自分も含めてひとは何かをトリガーにして悪人になりうるものであると認識し、そうなった場合に受ける被害を最小限にすることが企業側には求められますが、今回はあくまで利用者側としてできる気を付けるべきことを考えました。

 

1.現地調査よりもインターネットでの調査

大手業者の管理体制は今回事件が起きた会社と似たり寄ったりなものなので(むしろそれ以下だったら選定すらしないほうがよいかもしれないレベル)事件が起きてしまった以上は何をベースに業者を信用したらいいのか?

 

そもそも視察を受け入れてくれる業者の時点で絶対に変な管理体制はしません。

 

誰だってNGくらうとわかっていて見学はさせないでしょうw

 

そんなことは自分もわかっています。ほら、某役所が調査のためにオフィスに来るときだけ、正しい姿に一夜城作るとかごにょごにょしたりね?(だめ絶対

 

だから絶対まずい体制はとっていない、見せないものという前提で自分は重視してませんでした、ただ外出できるし早く帰れるからという真面目な理由で現地に行っただけです(きりっ

 

重視したのは現場の雰囲気や従業員との短時間のコミュニケーションで職場状況のヒアリングをすることです。

 

産廃業者ではありませんが、取引先と飲み会を開いたりすると思いますが、そういうコミュニケーションから職場の不満などをヒアリングします。

 

癒着と思われない程度であれば、そういう場面は大変重要な情報収集の場で、お酒が入るとついつい自社への不満が漏れます。

 

その不満が不正へのトリガーになることもあるのです。

 

今回のように付き合う業者をこれから選定するとなると、初対面の見学者にいきなり職場の不満などを伝える人はいないと思うのでインターネットの転職口コミサイトや掲示板などで調査をします。

 

「会社名 評判」なんて打てば問題が多い企業ほど目に付きやすいです。

 

そして前職でもそうでしたが不正のトリガーになるのは圧倒的に給与待遇面です。

 

 

前職で横領をなくすにはどうするべきかと社長に相談されたことがありますが、結論から言えば不正はなくせない、けれど減らすことはできると思うので現場スタッフの年収を250万円から800万円まで上げてくださいと答えて閉口されました。

 

わりと本気の提案です。人間の欲は天井知らずなので800万円でも使いすぎて横領する人はいるでしょうが、少なくとも数十万円の利益を横領で得て危ない橋をわたるくらいなら今の給与をとるほうがいいと思う人も同時に増えます。

 

銀行員などの給与が高いのにもこうした理由があるといいます。

 

前職は店舗で横領していたのはだいたい店長職でしたが、低所得なのに毎日何十万円という札がレジにあり、横領しやすい環境があればそりゃ誘惑に負けるでしょう。毎月20万円程度そのときは抜かれていましたが、手取り19万円の店長だったので仮に39万円手取りがあれば横領はしなかったのではと思います。

 

話を戻して今回の容疑者も同様に売れる資産を毎日のように数え切れないほど扱う職種で、盗める環境がそこにあったら・・・そして給与が低かったら?

 

参考までに過去の求人情報があったので拾ってきました。

f:id:kumawo0017:20191210230606j:image

固定残業代えぐいし、残業代抜いた基本給15万円て。。。

 

 

容疑者の年齢が51歳ということは転職した時期は40代後半、管理職でもない現場で作業する立場だったことを踏まえるとおそらくそこまで高収入ではない、そもそもモデル年収の時点で入社3年めで336万円って業界的にはどうかわかりませんが、おそらく入社3年めということを考えるとこの年収に近かったのではないかと思います。

 

www.asahi.com

 

記事によると落札総額は1200万円。全部が全部この会社から盗まれたものではないにせよ1000万円近くはあるのではと推定すると3年で年間あたり300万円近い稼ぎがあることになります。自分の年収とほぼ同額が稼げる、これはもうお小遣い稼ぎではなくこちらが本業と言ってもいいレベルではという印象です。。。税金なんか払っていないだろうし、非課税の300万円がまるまる所得にプラスされれば単純計算手取りは500万円以上、同年代大企業社員と比べれば当然低いと思いますが、同業界で3年めということを考えれば相当多い方だったのではと思います。

 

事情はどうあれ給与が少ないことに加えて管理品が盗みやすい状況が用意されていたこと、そしてそれを3年近くチェックせずクライアントからも指摘されず、まったくの第三者からの通報で知ることになった甘い体制があったことで事件は成立しました。

 

容疑者が供述どおり医療費に使っていたかはわかりませんが、自分のために使っていれば金遣いが荒くなったとか違和感を持つ人がいたかもしれませんが、こういう状況だと容疑者以外にもやっていた人がいた可能性は否定できず、そうなれば暗黙の了解的に周りの見逃していたかもしれません。

 

もしかするとそんな状況も5chなどの掲示板で確認できるかもですね。

 

状態を知るという意味ではネットでの調査は最近はわりとメジャーかつ有益です。

  

2.HDDやSSDは必ず自社で破壊する

業者チェックにも当然限界があるので極力HDDは抜き取り自前で破壊したいところです。

 

買取PCであればHDDを抜き取り自分たちで破壊するか、目の前で穴をあけてくれるような業者に持ち込むのが安心。

 

社内のPC管理者がHDDを抜き取れる最低限の技術があることが条件ではありますが・・・。

 

やっぱり業者に廃棄に出すにしても目の前で破壊されたという安心感は何にも代えがたいものがありますね。

 

www.broadlink.co.jp

 

業者を信用するという利用者側の責任も多少はあると自分は思います。

 

重要なものであるからこそ最後まで責任をもって管理したいところ。

 

3.リース契約の見直しと目視確認

今回のようにリース品である場合、本体の廃棄まで依頼する契約になっていると思うのでHDDだけは抜き取り事務所内で破壊できるような契約に見直すほうがいいでしょう。

 

目の前でHDDが破壊されるという行為は何にも代えがたい信用になります。

 

PCを廃棄する際に資産管理しているのはPC本体だけなのが一般的なはずです。

 

中のHDDのシリアルまで控えている会社がどれだけあるかわかりませんが、廃棄しました⇒HDDを破壊しましたと廃棄証明と写真を持ってこられてもそのHDDが廃棄依頼したPCのHDDである証拠はどこにある?と思いませんか?

 

まったく別なHDDのシリアルを流用しても気づく人はまずいないと思いますし、利用者側がある程度の知識がなければシリアルに興味もなく単純に廃棄した台数が管理台数と帳簿上合っていれば何の疑問も持たないはず。

 

預けた=安心は間違いだと思っています。

 

ざっくりこんなところかなと思いますが、すごい面倒です。

 

1のネットでの調査は自分の経験だと数日はひたすら調べ続けるので業務時間中に転職サイトを見ている謎のおっさん化したこともありました。

 

人的コストも金銭的コストもそれなりにかかりますが、今やデータ漏洩は企業に致命的なダメージを与えます。

 

業者任せにせず、自分たちでできることはしたいなぁと思います。

 

f:id:kumawo0017:20191209101428j:plain

まじめなことを書いたので頭痛がしたから308SWの写真でごまかす。

 

知人の会社には問題の企業から営業が謝罪に来たそうですが号泣謝罪になったようで。

 

同情する性格でもないですが、この手の事件で辛いのは営業など顧客と直接接する人です。自分がやったわけではないのに徹底的に叩かれる役目はそれも含めての仕事といえやりたいものではないですね。

 

前職で問題が発生したとき、あるフランチャイズ店で起きた事件で、他のフランチャイズ店は関係ないはずですがブランドが同じという理由で無関係のスタッフが顧客に罵倒され退職した話もありました。事件を起こす側に企業や他の従業員の都合は関係ありませんが、まぁこういう話もあるんです。

 

企業の存続に関してはわからないですね。大手ですし、バックも協力なので名前を変えたり他社に吸収合併もあるかもしれないですが、なんにせ業務停止も含めて存続は厳しいでしょう。従業員だって大量に離脱するでしょうし、新規なんかまず無理だと思います。

 

これがブルーオーシャンにいる企業であればなんとか持ち治せる可能性もありますが、同業他社がひしめくジャンルにおいてあえて世界最大規模とマスコミに報じられた事件が起きた会社を積極的に使う理由もないし、そもそも使う側の企業も社内で許可が降りないと思います。監視体制を見直しましたとか、もはや誰もそんな対策は興味がないでしょう。

 

実際の被害はわからないですけどね。

 

HDDを買った人も詳細な確認なんかしようがない。

 

誰も彼も今回発覚にいたった購入者のように復元を試みようとは思わないでしょうし、購入後はとうぜんHDDなのでPCやサーバに搭載して運用されているはずです。それをフォーマットして1からデータサーチ・サルベージなんておそらくしない(できない)ので実際の被害は闇の中だと思います。

 

もし容疑者がほそぼそと月に数台程度の流出でとどめていたり、もう少しうまくやっていれば表沙汰にならなかっただけで絶対こういう事案って世の中もっとあるよなぁと思うと怖いところもあり、やっぱり我々は性善説を盲信せず、可能な限りリスクを減らせる試みをひとりひとりとるべきなのかなと思います。

 

ポケモンやる時間減ったよ(´;ω;`)ブワッ

 

東尋坊|λ................