当社初のセキュリティインシデント発生





シンジです。もっとそれっぽい報告書みたいな感じにしてもよかったんです。事故報告書ってPDFにしてそれっぽくすると、読む気が湧き上がる種族っているじゃないですか。俺なんですけど。書くの面倒だったのでブログで勘弁。

何が起きたか

従業員が、お客さんに送るメールで、添付ファイルを間違えて送りました。端的に書けばそれだけです。

どういうことすか

  • A社さんに送付したかった見積書のPDFファイルがありました
  • A社さんにメールを書いてファイルを添付して送信しました
  • A社さんから「これちがくね?」って返事が来ました
  • 担当者は謝罪してメールを消すように連絡を入れました
  • 担当者はシンジに「間違えたファイル送っちゃいました!」ってSlackでメンションして連絡しました

まぁこんな具合です。

問題点

ひとつめ

ウチの会社のWebサイトを見てもらうとインフラ構成が書いてあるのでそれでざっくり分かるのですが、そもそも取り扱っているデータには何重にもDLP(Data Loss Prevention/情報漏洩防止)が仕掛けてあって、にも関わらず、全部すり抜けました。

理由は簡単で、A社さんにしかA社さん向けのファイルを送ってはならないというルールが定義されてないからです。

が、現実問題そんなルール書きたくなくて、ガッチガチに縛り付けて申請制にしたりとか承認制にしたりとか、カジュアルなデータ送信まで全部止められるのは生産性が上がるわけがないからです。

ZIPで暗号化したら見ようもないですし。

ふたつめ

気づいたタイミングが相手の指摘ってのが大問題です。Gmailの設定で、送信取消機能もONにしてあって、遅延送信になってます。が、ccにも複数人の従業員が含まれていたのに、気づけなかったんですね。何故かって、添付されてるファイルの中身が正しいかどうか全部確認してるわけじゃないからですね。

もしかしたらたまたま見てて気づけたかもしれませんが、それはたまたまです。

みっつめ

「メールを消すように連絡を入れた」が間違いです。

メールサーバーはGSuiteのGmailを利用していますが、受信も送信も全て別のサーバーで制御していて、添付ファイルがメールに付いていた場合はファイルだけをメールから切り離して、Boxに格納してから7日間の有効期限付き共有URLを自動的に発行、そのアドレスを自動追記して送信するように仕組んであります。

なので、本来従業員が取るべき行動は、BoxのアクセスURLを無効化することと、その上で先方に連絡して、謝罪をすべきでした。ちなみにBox上ではダウンロードしたのか、表示だけしたのかも分かるようになっていますが、さすがに従業員にそこまで見てうんぬんというのは酷ですし、見られてしまった以上は全ての可能性を考えるべきで、アクセスを無効化したうえで連絡を入れるのが良かったように思います。

よっつめ

間違えてしまった担当者は、Slackでシンジ宛のメンションを付けて、シンジの好き放題書く個人チャンネルに「間違えました!」という連絡を入れました。事故に気づいた際の連絡フローが徹底されていなかったわけです。

担当者がBoxのリンク無効化を知らなかったとしても、もしかしたら連絡すら入れてなかったとしたら、もっと大人数のチャンネルで全員通知で緊急性を伝えられたら他の従業員がフォローできた可能性もありました。たらればー。

というわけで課題解決屋がオープンします

DLPどうする

今回間違えたファイルは、どう頑張ったところで間違える可能性がある添付作業でした。つまり法的にやべえデータだったりとか、鍵ファイルだったりとか、カード番号だったりとか、社外秘とか書いてあるとかそーゆーたぐいのデータではなかったのです。

なので、DLPポリシーの見直しには至りませんでした。

気づけないなら気づけるようにするか

ここ注力しました、後半で説明します。

メール消して下さい、は、ダサい

いや、やらないというわけじゃないし、間違えてしまったので消して頂きたい旨を伝えないわけじゃないのですが、ここも後半で。

インシデント対応フロー

速攻で教育しました。定期的にトレーニングします。エビデンスも取ります。
事故、災害、事件、こういった類いのものに対応する瞬発力を養うために、最も効果のある方法は、訓練です。

メールに添付は辞めない、間違いにどう気づかせるか

前述の通り、実態は添付ではなくてBoxのURLになっているので、APIでコントロールすることにしました。

添付メールを検知すると、AWS Lambdaが起動して、SlackのBotが送信した本人に「ファイル名」が記載されたデータをメンション付きで通知します。

「削除」ボタンを押すと、即座にBoxの共有URLが無効化される、といった具合です。

いろいろ悩んで議論してこうなりましたが

何が正解なのかよく分かりません。

そもそもメールをあまり使ってなかったのと、この事故そのものは「人的ミス」なので起きるであろう想定内でした。が、実際に起きた。経験上、監査部門とかが絡むと、送信先を絞れとか、特定のシステムからしか送れないようにしろとかってなると思うんですが、そうだとしても人的ミスは100%の範囲で防げる気がしません。

添付ファイルの事故は、1つのフォルダないしは、デスクトップに散らばったファイルを掴んだときに、別のファイルを掴んでしまったが、本人は正しいと思って送っているので、どう気づいてもらうかにフォーカスしてみました。

送りたいファイル名に判断材料になりそうな情報が不足していたり(例えば会社名があるとかないとか)、別のシステム上で送信すると自社で持ってるDLPを全部スルーしちゃうし、そもそも添付しないでBoxのリンクに置き換えてることが強さのはずなので、Slack Botによって宛先やファイル名を本人に通知する方法で今回はいったん終了です。

もしも同じ拡張子で、同じファイル名だったら?という疑問、もちろん考えてあって、その対策はファイルを生成する過程でモゴモゴすることで回避するようにする予定です。

1人がメールにファイルを添付する頻度が1日30件あったりしたら、Slackの通知も見てるんだか見てないんだかになると思います。割とそのあたりも議論しました。慣れってやつです。

なので、訓練は定期的にやるぞと。とりあえずそーゆー感じです。メールは基本的に使わない。ので。
ちなみに外部のサービスで、添付メール事故を抑制するものが沢山出てますが、まぁ、うん。そうね。はい。

みなさんいろいろ知恵があると思うので、自社の現場はこうしてるよとか、事故体験はどんどん共有してもらえると、みんなハッピーだと思います。やらかしちゃった人はまぁだいたいこう言うんですよ。「殺すつもりはなかった」。システムで助けられるなら、利便性は下げずに事故は減らしていきたいですよね。

あ、これだけは書かせてください。
添付ファイルにパスワードをかけるのは無意味というか害悪です。
そろそろ勘弁してください。