会社内でのセキュリティ教育ー見えないが見えてしまう編ー
僕の会社での肩書が「セキュリティエバンジェリスト」和訳すれば「セキュリティ伝道師」ということで、社内にセキュリティを浸透、啓発するのがミッションです。 業務で使用するアプリケーション、例えばChromeやFirefoxのようなブラウザ、AdobeのようなPDFソフトなどのバージョンアップ情報やEmotetが活動を活発化させた注意喚起などを会社のグループウェアで行っています。本当はこういう情報は僕が発信しなくても能動的に知っていてほしいのですが、誰もがコンピュータリテラシーを持っているわけではないのです。僕が営業リテラシーを持っていないようにw
従業員にセキュリティに関心を持ってもらうためにはどういう情報を発信すればよいか、は悩んでいます。セキュリティインシデントはかつてないほど身近なものなのです。エン・ジャパンやドコモの情報漏洩・・・けして他人事に思えません。しかしこのブログでも紹介しているセキュリティに関する本を読んでくれ、とも言えませんし。
そこで、従業員が日常の業務で当たり前のように行っている作業にセキュリティリスクが存在することが分かるような記事を作成して公開しました。テーマは「恐怖!見えないものが見えてしまう」。
Google・Microsoft・Adobeなどの「トリミングツール」で切り取られた画像は簡単に元のデータを復元できるという指摘
上記の記事を参考にして、閲覧権限のみを設定したGoogleドキュメント上に、以下の画像の右半分をトリミングして貼り付けました。
この画像は無料写真素材ページ”写真AC”から拝借しました
この画像をGoogleドキュメントにコピペして、別のGoogleドキュメントに張り付け、「画像をリセット」を選択すると左側が見えるようになり、修羅場であることが明らかになります(笑) ちなみに、Microsoft Wordには貼り付けた時点で元の画像が暴かれますし、Googleドキュメントだけの問題ではなく、Wordでも同様他のWordにコピペして画像の「トリミング」を選択すると元の画像が復元できてしまいます。
ちなみにこの話はドキュメント作成アプリケーションだけに留まりませんでした。
Google Pixel、加工前のスクリーンショットが復元できてしまう不具合 加工前画像が復元できてしまう不具合、WindowsのSnipping Toolでも
僕らが日常的に使うトリミング機能の多くに同様の脆弱性が存在することが判明しました。追記の形で情報を発信しました。
普段の業務での行動の中に様々なセキュリティリスクが潜んでいることを他にも紹介しました。
大分大で個人情報漏えいの可能性 PDF黒塗り失敗 編集で閲覧できる状態に
黒塗りのPDFは実際には読めてしまう、という事案は昔からも言われていましたが、忘れたころに発生するセキュリティインシデントです。 Wordファイルの文字の背景色を黒にしたり、文字の上から図形を乗せて文字を隠した状態でPDF化しても、PDFファイルをCtrl-A(または「編集」→「全て選択」)で全選択してコピーし、Wordなどに貼り付けると、隠されている番号が確認できてしまうことを実際にPDFファイルを作ることで啓発しました。
そして、Googleスプレッドシートのセルの更新履歴機能に潜むセキュリティリスクについても紹介しました。 Googleスプレッドシートはセルの編集履歴を確認する機能があり、誰がいつどのように値を編集したのかを追える便利な機能なのですが、もうお判りでしょう。相手にGoogleスプレッドシートを編集権限を与えた上で共有すると、相手側がセルの右クリック→「編集履歴の表示」で過去のセルの内容が見えてしまうのです。これを避けるためには、セルをクリアしたのち、新しいスプレッドシートを新規作成して、そちらに内容をコピー&ペーストし、履歴がない状態にして共有する必要があります。 参考:Googleスプレッドシートで過去ファイルのコピー&使いまわしが絶対ダメな理由(GoogleドキュメントやGoogleスライドも
これまでもセキュリティに関する情報発信(パスキーの未来とか、Emotetの手口とか)を行ってきましたが、この記事がいちばん従業員に読んでもらえました。誘導するって難しいですよね。人は自分事ととらえないとまず動かないですし。「あ、自分に関係するかも?」と思わせるキャッチコピーが重要なのではないかと、その点で「恐怖!見えないものが見えてしまう」というタイトルは我ながらキャッチーだったと思います。