Opinion : 情報セキュリティの根本理念 (2006/2/27)
 

すでにあちこちで報じられている通り、海自の内部資料が Winny を通じて流出する騒ぎがあったとの由。もっとも、正確には Winny で流出したというよりも、Winny に感染するウィルス (キ○タマウィルスこと Antinny) が犯人ということらしい。

今回の海自の件に限らず、ずっと前から Winny とキ○タマウィルスのコンビネーションに起因する情報流出事件なんて何回も発生しているのだから、再発させる人はあまりにも警戒心がないというか、セキュリティ意識が「なっていない」というか。

ただしこの件、いろいろな問題が複合的に絡んでいると思われるので、話を整理しておきたいと思う。


まず、職場から重要なデータを持ち出して、自宅の私物 PC に複製できるという時点で根本的な問題があると思う。

昨今、「セキュリティ」という言葉があまりにも軽々しく使われすぎて、その本来の目的が忘れられているような感もあるけれど、「情報システムのセキュリティ」について原点を再確認するならば、

  • 重要データの保全 (外部への漏洩防止、改竄防止)
  • 情報システムが機能不全に陥るような事態の防止
といったあたりが中心になっているはず。それならば、データ保全という見地からすると、データを外部に持ち出せるという時点でザル。これはもう、OS の種類がどうとか、セキュリティ修正プログラムの適用がどうとか、ファイアウォールの設定がどうとかいう以前の問題。手作業で持ち出したら、そんなのは全部バイパスしてしまうのだから。

データの持ち出しとはちと違うけれど、たとえば自動車メーカーなんかでは、カメラ付き携帯電話の持ち込みが制限されている事例もあると聞く。それぐらい注意するのが当然の話で、書類に「機密」のハンコを押すだけで満足してはいけない。重要な情報については、誰がいつ、どのデータにアクセスしたかは全部記録するべきだし、外部に持ち出せないような物理的対策を講じるのも当然の話。

実は拙宅にも、仕事の関係でいただいた資料類がいろいろと溜まっている。中には「某社の機密資料」みたいなものも含まれている場合があり、当然ながら、そういうものは家の外には一歩も持ち出さない。古紙回収に出すこともできないので、捨てるに捨てられず、ただ堆積している。
あと、仕事の内容によっては、オフィスの外でメシを食ったり、あるいは宴会をやったりするときの会話だって要注意といえる。

もうひとつ、これも問題だと思うのが、職場に私物 PC を持ち込んでいるケース。中には「PC を買ってくれないので、仕方なく私物を持ち込んでいる」という事例も少なくなさそうだ。ただ、10 万円の PC をケチったせいで数百万、数千万、ときには億単位の損害や対策経費が必要になる場合もある。そう考えると、PC の支給をケチった代償はあまりにも大きい。

会社から支給した PC なら、「ソフトのインストール禁止」とか「セキュリティ対策の徹底」みたいな施策を講じることに問題はないけれど、私物だと、まさか「何もインストールするな」とはいえない。そこで Winny なんかをインストールした挙げ句にキ○タマウィルスに感染したのでは、ほんと洒落にならない。

もっとも、「Winny がインストールされているコンピュータに重要な情報を入れるのが、そもそも間違っている」というのも一面の真理。どうしても Winny を使いたければ、他の機能は一切インストールせず、重要なデータもまったく置かない専用機を用意するべし。見ず知らずの他人がアクセスできるようになっているコンピュータに、仕事で使う重要な情報を置くなんて問題外。


情報漏洩というと、外部に持ち出したノート PC の紛失・盗難といった事例も相次いでいる。ぶっちゃけ、外部に持ち出すなら盗まれるようなことをせずに、メシを食うときでもトイレに入るときでも、とにかく常に肌身離さず持ち歩くようにしないと駄目だろうといいたい。盗まれて困るようなデータが入っているのなら。

ひとつの解決策として、日立のようにシン クライアントを売り出している事例もある。なるほど、データをサーバに集約してしまえば、クライアント PC が盗まれたり、あるいは紛失したりしても情報は護られる。

…といいたいところだが、シン クライアントにするというだけで安心してしまうのも問題がある。オフィスの中の保安対策やクライアント PC 自体のセキュリティ、外部からサーバにアクセスするためのリモート アクセスなど、盲点になりそうな部分はいろいろある。そっちの方でもちゃんと対策を施さなければ、サーバに不正侵入されて一網打尽、なんてオチにならないとも限らない。

それに、あらゆる組織のあらゆる業務をシン クライアント化できるかというと、そんなこともあるまい。どうしても、データを外部に持ち出さなければならない事例は残る。それであれば、そのことを前提にした別の対策を講じなければならない。

とどのつまり、私が常々いっているように「ひとつの対策だけで万事解決」ということはあり得ない、という月並みな話に落ち着く。もしも、「○○するだけで問題は解消できます」なんて安易な宣伝をしているベンダ、あるいは SI 業者がいたら、疑ってかかる方がいい。


情報漏洩に限らず、「安全」だとか「セキュリティ」だとかが関係する問題はえてして、モグラ叩き現象と化す。つまり、ある問題点を潰したと思ったら、別の方面で問題が発生して、また対策を必要とする… そんな無限ループの繰り返し。

ただし、対策を講じる際に注意したいのは、「たるんでる」とかなんとかいって、個人の意識問題に矮小化した精神論にしてしまってはいけない、ということ。
もちろん、一人一人が情報の保全ということに対して正しい意識と対処行動をとることは重要だけれども、セキュリティ対策が業務上の不便を生む原因になれば、何か抜け穴を作りたくなるのも人の常。現場の実情に配慮しながら、できるだけ無理や不便が少なくなるような対策を講じないと、いつかどこかで破綻する。

海自の一件についていえば、重要情報を持ち出せるということの問題に加えて、仕事を家に持ち帰らないといけないような状況をどうにかした方がいいのではないかと思う。もちろん、私物 PC を持ち込まないと仕事が進まないなんて論外。単に、情報漏洩事件を引き起こした当人を吊し上げるだけで済ませてしまうようでは、またぞろ同じことを繰り返しますぞ、と申し上げたい。

Contents
HOME
Works
Diary
Defence News
Opinion
About

| 記事一覧に戻る | HOME に戻る |