PR

 この特集では、マイクロソフトによるWaledacボットネットの停止事例を紹介してきた。これらの取り組みは、インターネットを安全なものとする上で欠かせないものだ。その一方で、通常のIT管理者が直面する問題は、不正アクセスや情報漏えいと言った身近な問題が多いだろう。

 情報漏えいに関する問題は、単に情報システムのセキュリティを高め、全社のセキュリティポリシーを作れば防げるというものではない。ITリスクは多重化しており、相互に対立的なリスクを同時に考えていく必要がある。今回は、日本IBM経営品質・情報セキュリティ担当部長の徳田敏文氏と、東京電機大学の佐々木良一教授の講演内容から、現在のIT管理者が検討すべきセキュリティ対策とリスク管理を考察する。

P2Pファイル共有ソフトへの情報流出の事例から考察

 P2Pネットワークは匿名性が高く、多くのデータがキャッシュと言う形で、P2P利用者のPC上に分散して保存される。このため、一度P2Pに流出したデータをP2P上から消し去ることは難しい(図16)。

図16●典型的なP2Pネットワークへの情報漏えい・流出
図16●典型的なP2Pネットワークへの情報漏えい・流出
[画像のクリックで拡大表示]

 日本IBMの徳田氏が発表した事例では、プロジェクト関係者が自宅に持ち帰ったPCからウィルスによって機密性の高い情報がP2Pに流出した。さらに、意図的と思われる再流出によって、さらなる対応を迫られてしまった。日本IBMでは、事故対応として次の内容について対応をしている。

  • 流出の確認と範囲の特定
  • データを保持するPC(IPアドレス)の特定
  • データの削除依頼
  • 意図的に流出を繰り返す者に対する発信行為を禁止する仮処分
  • 上記人物に対するの告訴

 各項目について詳しく紹介しよう。