泥棒(あるいは内部告発者)の捕まえ方 (2008年01月24日)
New Scientistが、組織内の電子メールをスキャンして潜在的な泥棒、あるいは内部告発者を検知する空軍技術研究所(AFIT)開発によるソフトウェアの記事を 先ごろ掲載 した。外部へ送信される電子メールにこれを応用し、「機密性の高い」話題への言及部分にフラグを立てる。また、社内電子メールにも応用し、社員の(いわゆる)「不作為の罪」にもフラグを立てる。つまり、同僚と各種行事の話をしていない社員も、「(仲間と)遠ざかっている」とみなされる。そして、機密性の高い話題からあえて遠ざかっているのだと判断されると、危険分子だと仮定される。すなわち、同僚と一緒に飲んだくれていないとソフトウェアによって背信行為を疑われるのである。
だから?
もしこのようなシステムが実際は使い物にならないと思うなら(筆者も記事を読みながらそう思った)、残念ながら、それは完全かつ徹底的に間違った考え方であることをお伝えせねばならない。開発者はこれを Enron から送信された25万通の電子メールに応用し、わずか3人の社員にフラグを立てた。その1人が同社の会計手法の暴露を手助けした内部告発者の Sherron Watkins だった。先の記事は、ほかの2人の社員が最終的に有罪判決を受けた Enron 幹部だったかどうかや、システムによる発見を何人が逃れたかについては言及していない。もちろん、AFIT のシステムが内部告発者の発見に特化していて窃盗犯は検知しないようになっていたら滑稽だ。だが、それでも飛ぶように売れるのは確実だろう。
ところで、米国のほとんどの州ではこのようなタイプの監視ソフトウェアが完全に合法化されている。欧州では、嫌疑がかかっている社員に対してのみそれが利用できる。だが、ある特定の社員にターゲットを絞ったらその人物のメールを手作業でチェックした方が AFIT のシステムより効果的なので、これは事実上無意味になってしまう。欧州では、同技術を採用した(合法)アプリケーションがあまり見あたらない。
もちろん現代においては、よほど無能な内部告発者(あるいは窃盗犯)でもない限り自社の電子メールアカウントは使わない。内部告発者なら、 USB ドライブに慎重にデータを詰めて味方のジャーナリストに郵送する方法を支持するかもしれない。しかし筆者は最近、USB ポートのトラフィックをログに書き出してサーバに報告するセキュリティソフトウェアの話も耳にしたので、これも必ずしも安全な手段とは言えない。包囲網はかなり厳しくなりつつあり、CIO にとってはうれしい限りだ。筆者は、ノート PC の USB ポートに強力瞬間接着剤を塗布して使用不能にする組織の話まで聞いたことがある(実話だ)。
結局、唯一の選択肢となるのは画面キャプチャかもしれない。厄介で、ジャーナリストにとっては大きめの電子メールになってしまうが、これはうまくいく。技術知識の豊富でない内部告発者の方々には以下をお読みいただきたい(データ窃盗犯の方がたは無視していただきたい)。Windows では、「Alt」を押さえながら「プリントスクリーン」キーを押すと最前面のウィンドウの内容(おそらくは有罪判決につながるような電子メール)がバッファに画像としてペーストされる。次に、電子メールを新規作成してこの画像をそこにペーストする。その繰り返しだ。どうだろう。これで送信されるデータはテキストスキャナに解釈できない(だれもが知る限り)無防備な絵の集まりに過ぎない。AFIT のソフトウェアを使ったらどうなるだろう。
Comments