PR

 生活雑貨メーカー「いろは物産」の新米CIOである小林は,今日もいつも通りに出社して,メールをチェックしようとしていた。最初のメールを開こうとしたとき,青ざめた表情で情報システム部課長の山下がやって来た。

山下:部長,朝から申し訳ありません。

小林:朝っぱらから何だね。

山下:今朝になって営業部から報告がありまして,営業部のある者がオンライン・ショッピングをご利用のお客様の情報が入ったCD-ROMを紛失したそうなのです。

小林:何だって! どういうことだ!?

山下:先ほど,朝一番にその社員と課長が情報システム部に事情説明に来ました。その社員は,オンライン・ショッピング利用者の傾向を調べて資料にまとめる目的で,数日前からデータを引き出して作業をしていたました。昨夜は,夜中に家で作業する目的でCD-R に焼いて鞄に入れて新人の歓迎会に参加したんだそうです。ところが,酔っぱらって家に帰ってそのまま寝てしまい,今朝起きてみたらCD-Rがなくなっていたとか…。どこで無くしたのか記憶にはないそうです。

小林:何てこった…。取りあえず,警察に届けは出したのか?

山下:報告を聞いて,その社員にインターネット経由で警察に遺失届けを出させました。

技術解説

 「情報漏洩」と聞くと,犯罪者がインターネットを介して技術的な手法(いわゆるクラッキング) で盗み出すものと思いがちだ。しかし実際には,そのような方法で漏洩するケースは1割にも満たないといわれている。多くの場合は,今回の「いろは物産」の「紛失」のように,「昔ながらの過失や事故」によるものなのである。例えば,日本ネットワークセキュリティ協会(JNSA)の調査によると,2005年度にメディアなどを通じで公開された情報漏洩事故/事件のうち7割近くが盗難または紛失によるものであり,「不正アクセス」によるものはわずか1.4%に過ぎない。

2005年度 情報セキュリティインシデントに関する調査報告書
http://www.jnsa.org/result/2005/20060803_pol01/index.html

 最近日本では,Winnyなどのファイル交換ソフトを使っているパソコンが内部のファイルをインターネットに漏えいさせてしまう事故が続発している。 2006年にはこれらの事故がメディアの注目を集め,大きく報道された。これらの流出事故のほとんどは,Antinnyなどの「暴露ウイルス」がパソコンに感染し,パソコンに保存しているファイルをファイル交換ネットワーク上に公開してしまうことによって発生している(図1)。

図1●Winny+Antinnyによる情報漏えいの模式図
図1●Winny+Antinnyによる情報漏えいの模式図

 このような情報漏洩は,Winnyそのものが問題なのではない。そもそも業務で使われるパソコンにWinnyのような業務に関係のないソフトがインストールされていることが問題なのである。また,パソコンがAntinnyといったウイルスに感染したまま放置されていることも問題だ。

 Winny に対する根本的な対策は,社員に対して業務で PC を使用するにあたり,

(1)会社から許可されていないソフトウェアをインストールしない
(2)ウイルス対策ソフトおよびそのパターンファイルを常に最新の状態にしておく

といったことをまもらせることだ。そのためにこれらの項目を必然的に遵守させるようなシステム構成にすれば良い。例えばユーザが勝手にソフトをインストールできないようにしたり,全自動でウイルス対策ソフトをバージョンアップしたりパターン・ファイルを更新させたりするのだ。Winnyなどのファイル交換ソフトが社内 LAN 内で動いていないかを監視し,外部とのP2P通信を遮断することも忘れてはならない。

 社内データを私物のパソコンで使用する場合,もはやそのパソコンは単なる私物ではない。業務で使用するパソコンと同じように上記(1)および(2)を守らせる必要がある。

押田 政人(おしだ まさひと)
セキュリティを専門とする IT ライター。翻訳にも携わる。最近手がけることが多いテーマは、セキュリティ対策に必要な企業内組織体制。長年セキュリティ組織のメンバーとして活躍してきた。そこで培った豊富な知見と人脈が強み。

その2 >>