はじめに
筆者が退職した企業の職場で直属の上長から聞いた話です。(体験記でなく申し訳ないです)
※色々考慮してぼかしている部分が多々あります
概要
東京のとある企業に務めていました、体系はSESでした。
こんな感じです。(本当はもっと下でしたが)
元請けはもちろんA社、筆者はB社所属、インシデント発生がC社です。
ざっくり結論と背景
■ざっくり結論
何が起きたか結論から言うと
「ヒューマンエラー」による「セキュリティインシデント」です。
■背景
B社もC社も元請けであるA社に出向する必要がありました。
開発諸々は良いとして、当然「検証環境、本番環境」など、
顧客のデータが入っているサーバルームがあるわけですね。
A社出入り用ICカードでの出退勤管理、
サーバルーム入室用ICカードの申請・貸出などのチェックがありました。
問題と原因
端的に言うと、A社に登録されていないC社の第三者が
サーバルームで作業した、という問題が発生しました。
(更に言うと、単純に侵入に値する行為ですね)
原因はC社から出向しているメンバーでした。
(補足:A社出入り許可が出ているのは、もちろんC社特定のメンバー数人のみです)
「サーバ側で困ったことがあった」のか、「上長や他のメンバーに質問できない状況」
だったのかはわかりませんが、「不明点を解決」してもらうために
許可がないC社の第三者を独断で呼び込んで
A社出入り用のICカードを又貸しして
許可があるメンバーがサーバルーム入室用ICカードの
貸与申請・持出しをして入室させてしまったらしいです。
結果
作業ログもとられているわけですし、申請もチェックされるわけです。
結果は明白ですが、すぐに問題になりました。
「特定の時間、特定の場所にいたはずの○○さんが分身」してる訳ですから。
(「貸与申請」とは別に必要な「事前の作業申請」もありませんでした)
どのような処分が下ったかは伝聞なので不明ですが、
C社はすぐさま撤退勧告を受け、撤退した後
然るべき処置が実施されたそうです。
教訓
「少しくらいなら」、「周りがBPさんだらけで質問できない」など
どんな悩みや考えがあれど、セキュリティインシデントを発生させて
会社や自身の将来を潰してしまうような行いは絶対にダメです。
何かで悩んだら、そういった行動に出る前に
「怒られても良い」から関係者に問い合わせましょう。
まとめ
「自身の家の鍵」と同じく「業務委託された際に貸与された某」は
「何にも変えることができない大切な鍵」です。
「それをバラ撒くような行為は 厳禁 である」ということを再度認識しましょう。
筆者はそんな危険な行為を考えたことすらありませんでしたが、
その話を聞いた時に「そんなことを考える人もいるのか…」と心の奥底が
「ヒヤッ」とした感触があったので記録として残します。
さいごに
この記事が役に立つかは難しいところですが、
自動車の教習所で見る「こういう事故がありました」という映像のように
改めて気を引き締める礎になってもらえれば、と思います。
本記事は、以下のイベントでの1題材を基に投稿しております。
興味がある方は、是非投稿してイベントを盛り上げてみましょう。