人間が最大のセキュリティホールになっていませんか?! - 相次ぐ情報流出、急がれるセキュリティ対策
[2005月06年30日]
最近、情報流出事件が多くないだろうか?Winnyを使っていて、ノートPCが紛失して、サイトのセキュリティホールを突かれてなどなど、情報流出経路は様々だか、数日に1件や2件は情報流出事件が起きているのが現状である。先日も米国で大規模なクレジットカード情報流出事件が起きたばかりだか、今日もNTTドコモが業務委託先で顧客情報入り外付けHDDを紛失したという事件が起きた。最大4万8000件の顧客情報が納まっている、とのことである。
もちろん多かれ少なかれ、何らかの責任を負うことには違いないのだが、特にWinny絡みの流出事件は、自ら進んで火傷を負いにいったような迂闊さがある。PCのデバイスの中で最も足を引っ張っているのは人間自身だ、という言葉があるが、この場合もPCの使用者そのものが最大のセキュリティホールだった、というわけである。6月をふり返っただけでも、Winny絡みの流出事件だけでもこれだけあった。
6月1日 ドコモ東海の基地局情報がWinnyで流出。
http://www.itmedia.co.jp/mobile/articles/0506/01/news091.html (ITMedia)
6月2日 愛知県の市立小学校、全校児童の名簿がWinny上に流出~成績表も含まれる
http://internet.watch.impress.co.jp/cda/news/2005/06/02/7862.html(INTERNET Watch)
6月7日 NECファシリティーズ、人事考課データ395人分がWinnyで流出。
http://internet.watch.impress.co.jp/cda/news/2005/06/07/7917.html(INTERNET Watch)
6月16日 民主現職市議パソコン「キンタマ」ウイルス感染。
http://www.zakzak.co.jp/top/2005_06/t2005061626.html(ZAKZAK)
6月23日 三菱電機、Winnyによる発電所情報の漏洩事件について会見。
http://internet.watch.impress.co.jp/cda/news/2005/06/23/8134.html(INTERNET Watch)
6月24日 愛知県警の捜査情報がネットに流出、Winnyのウイルスが原因か?
http://internet.watch.impress.co.jp/cda/news/2005/06/24/8145.html(INTERNET Watch)
個人が抱えているデータなので、流出情報の中身が他の情報流出事件と比較して、かなり生々しい。成績表、人事考課、捜査情報などどれもかなりの破壊力を持った情報である。
この事態を受けて、情報処理推進機構(IPA)は6月23日、「ファイル交換ソフト使用上の注意事項」を公表した。一般的な業務に用いるPCにはファイル交換ソフトをインストールすべきではない、と異例の勧告をしたのである。それほどまでに、由々しき事態になっているのである。
・ファイル交換ソフト使用上の注意事項について
http://www.ipa.go.jp/about/press/20050623-2.html (IPA)
流出経路を分類化
では、なぜこのようにWinnyによる流出事件が起きてしまうのだろうか?その発生の原因を分類してみる。
愛知県警、ドコモ東海のケースがそうである。公私に渡って、同じPCを使っている人は意外と多いのではないかと思う。持ち運びに便利なノートPCの場合、その携帯性がアダとなってしまうケースが多い。公私混同になってしまい、Winnyと機密情報が同居するノートPCになってしまう。
本人は公私混同はしていないつもりでも、同じPCを複数人が使っている、あるいはお下がりを引き継いだ場合は注意が必要である。
三菱電機、愛知の小学校、NECがこのケースである。しかし、データを持ち帰るということは多いかと思う。筆者もたまに作業中のデータを持ち帰り、自宅PCで作業することがある。書きかけの文章であることがほとんどで、さすがに機密情報に該当するようなデータは持ち帰ったことがないが、仕事のメールを自宅PCで受けているので、100%機密情報が自宅に無いとは言い切れない。
またNECのケースは、上司が共有サーバーに保存したデータに部下の1人がアクセスして、自宅に持ち帰ったという。こうなってくると、誰かの責任と言うよりも、全社的に情報の管理を構築しなくてはならない時代になっているといえる。
民主党市議のケース。PCを共有しており、市議の息子がWinnyを使ったことにより、情報流出が起きた。このケースが一番怖いかもしれない。なんといっても、本人が知らないところで情報が流出してしまうのである。Winnyを使っている意識が無いから普通に機密情報を扱うし、ウイルス対策にも関心が低くなる。
どう防ぐべきか
Winnyによる情報流出に防止策はあるのだろうか?
実は、決定打と呼べるものはない。
Winnyを使わない、というのが一番の防止策だが、本人が使っていなくても、PCを共有している家族がWinnyを使うかもしれず、本人が使っていない分、発見に時間がかかって、ひどい状態になってしまうかもしれない。
逆にこれからは情報は流出するものだという意識を持つことが必要になってくる。PC上に置いてある情報は、誰かに覗かれるものだと思って行動することが求められている。機密情報データは少なくても暗号化する、PC上には置かない、仕事をするときはネットワークから切り離した仕事用のPCをもう一台用意するなどの処置で自己防衛するしかないと思うのだが。
