8月23日,防衛庁は富士通に対して2週間の指名停止を発表した。処分のきっかけは防衛庁の内部ネットワークに関するデータの流出事件。IT業界の多段階下請け構造における,データ管理の甘さが改めて注目を集めた。システム発注者の重要機密が,いつ漏洩(ろうえい)してもおかしくないことを見せつけた。

 問題のきっかけとなったデータ流出が明らかになったのは,今年の6月末のこと。富士通は,2000年から陸上自衛隊と航空自衛隊の拠点など全国200カ所を結ぶネットワークのIP化を進めていたが,同プロジェクトに関連したデータの一部を持った元自衛官ら3人が,富士通社員に接触してきたのだ。流出していたデータは,自衛隊のネットワークの構成図と内部で利用するすべてのIPアドレスだった。

 富士通広報IR室によれば,「都内のホテルで3人の会社員と会った際に,金銭の要求を示唆すると見られる発言があったので,神奈川県警に恐喝未遂で告発した」としている。

 これに対して,データを持っていた元自衛官の奥茂治氏の言い分は全く違う。「あるエンジニアが防衛庁のシステムに関するデータを保持していると知人から聞いた。そのデータがどんなシステムのデータで本物なのかを確認するために,富士通社員に面会を求めた。金欲しさの恐喝ではない」。

 この真偽は不明だが,本来,漏れるはずのないデータが流出したのはまぎれもない事実。機密保持の点で何らかの不備があったことは間違いない。防衛庁と富士通はデータ流出の対策を講じた。富士通は,無償で漏洩したIPアドレスを変更することを決定。変更の対象となるIPアドレスは1万を超えており,数千万円のコストが発生する見込みだ。

流出過程が示す開発現場の実態

図●防衛庁のネットワーク構築プロジェクトの下請け構造。
防衛庁のデータを入手したエンジニアへの取材内容をまとめた。そのエンジニアは5次下請けだった

 データ流出の経緯について,本誌は,データ流出のカギを握るフリーのシステムエンジニアX氏に取材した。X氏の主張は以下のようになる。

 X氏は富士通から見て5次下請けとして,受注額10億円超の防衛庁のプロジェクトに参加した()。X氏は,以前から仕事を通じてかかわりがあったネットワーク構築会社のE社から誘いを受け,プロジェクトに加わった。日当は1万6000円だった。

 X氏は,E社はもちろん富士通を含めてどの企業とも契約を交わしていなかった。機密保持にかかわる誓約書なども一切提出していない。一方,富士通は外注企業を利用する場合には,防衛庁に下請け企業についてすべて届け出ることになっていた。

 防衛庁のネットワークは全国の拠点にまたがる大がかりなものなので,現地で納入する前に一定の規模ごとに分けて,富士通川崎工場内でテストを実施している。この作業を進めるために,作業指示図面が必要となった。本来は1次下請けの富士通特機システムあるいは2次の富士通ネットワークソリューションズ(エフネッツ)が,この作業指示図面を作成すべきだったができなかった。X氏は「納期までに余裕がないことに加えて,社内の人材も少なかった」と内部事情を語る。

 そこで,エフネッツはさらに下請けの株式会社S社や,S社がよく仕事を発注する有限会社E社などと打ち合わせた。S社は今回の仕事にあまり関与しておらず,中間マージンを抜いただけに近かったようだ。エフネッツとの取引口座をE社は持っていないが,S社は持っていたとみられる。

 打ち合わせの結果,X氏が作業指示用の図面を作成することになった。もともとはケーブルの接続などの作業を手がけるためにプロジェクトに参加していたが,ネットワーク構築の知識が買われた。作業指示用の図面作成には,今回流出したネットワーク構成図やIPアドレスが必須である。そこで,X氏はIPアドレスなどのデータが必要になった。図面作成作業は,自宅などで行うことになるので,私有のパソコンにデータを複製することにした。

 このとき富士通特機システムの社員が了解した上で,X氏が富士通のLANに自分のノート・パソコンを接続,ネットワークのデータへのアクセスに必要なIDとパスワードを聞いて,データを富士通のサーバーからコピーしたという。X氏は「現在に至るまで富士通側からデータを回収したいという要請は全くない」と言い切る。

(中村 建助)

次回(下)へ続く