PR

社内ポリシーの策定・運用だけでは不十分。シンクライアントの導入などシステム面の追加対策が不可欠---。ファイル共有ソフト「Winny」による情報漏洩が続くなか、本誌がシステム部長150人に対して行った緊急調査から、対策に苦慮する姿が浮かび上がった。


本記事は日経コンピュータ 4月17日号に掲載予定のレポートより、本文のみを抜き出したものです。そのため図や表が割愛されていることをご了承ください。

 Winnyによる情報漏洩は、いまだ収まる気配がない。3月だけでも、1万3619人の個人・法人情報が流出した富士宮信用金庫をはじめ、40を超える企業や団体が保有する個人情報や機密情報が漏洩している(表)。

 この“異常事態”に対し、ユーザー企業はどう対処しているのか。日経コンピュータが運営する「システム部長会」の会員150人に緊急調査を実施し、Winny問題に対する「現在行っている施策」と「これから行う施策」を尋ねた(調査概要参照)。

 その結果、現在行っている施策では「社内でのWinnyの使用を禁止する」(87.0%)と「私物パソコンの持ち込みを禁止する」(85.2%)が、これから行う施策としては「Winnyを検知可能な検疫システムを導入する」(40.7%)と「シンクライアントを導入する」(35.2%)が最も多かった(いずれも複数回答、以下同じ)。

 すでに大半がセキュリティ・ポリシーに情報漏洩対策の項目を盛り込んでいるものの、システム面での追加対策が必要と考えるシステム部長が少なくない実態が浮かび上がる(図1)。

 回答を寄せたシステム部長の一人は、「セキュリティ・ポリシーを規定し、社員を教育することがWinny対策で最も重要だが、それを支えるシステムが不可欠。『不正な行為は必ず検知される』と社員に周知して初めて、ポリシーが生きてくる」と指摘する。今回の調査結果を見ると、セキュリティ・ポリシーを中心とする現状の対策だけでは不十分との意見が優勢だ。

「こっそり」を40%以上が経験

 一方、「社内からのデータの持ち出しを禁止する」という施策をすでに実施している企業は過半数(53.7%)を超える。Winnyによる情報漏洩を起こした企業や団体に問い合わせても、その多くが「個人情報保護法の対策の一環で、私物パソコンの持ち込みや、業務データの持ち出しを禁止している」とする。ところが、「Winny対策で悩んでいること」を尋ねると、「データの持ち出しを禁止しても、社員がこっそり持ち出してしまう」との回答がほぼ半数の46.3%に上る(図2)。

 回答を寄せた、あるシステム部長は、こんなエピソードを披露する。その会社では、以前から「業務用のパソコンにインストールできるのは、あらかじめ指定したソフトウエアだけ」とのポリシーを掲げていた。このポリシーに違反すると、当該パソコンの使用を禁止するという罰則もある。ところがWinnyによる情報漏洩が騒がれ始めた昨年11月、数千台の業務用パソコンをソフトウエア資産管理ツールで調べたところ、営業担当者のノート・パソコン数台から、存在してはいけないはずのWinnyが検出された。

 昨年8月に発電所の検査情報がWinnyにより流出するトラブルを経験した三菱重工業は、「私物パソコンを持ち込まない」などのセキュリティ・ポリシーを徹底した。ところが今年3月に再度、Winnyによる情報漏洩が発覚した。こうした調査結果やエピソードから、セキュリティ・ポリシーの順守を口頭や文書で呼びかけるだけでは、情報漏洩を防ぎきれないのは、ほぼ間違いないと言える。

 そこで、物理的にデータが漏洩しないようにする仕組み作りが大切になる。その施策として、シンクライアントに対する期待が大きい。今回の調査で、現在行っている施策としてシンクライアントを挙げた回答者はわずか1.9%だが、これから行う施策では35.2%に達した。

技術でポリシーの実効性を高める

 Winny問題の難しさは、私物パソコンから情報が漏れる点にある。図2でわかるように、回答者の半数は「社員の私物パソコンのソフトウエア構成まで調べることは困難」と悩んでいる。となると、社外にデータを持ち出させないようにして、私物パソコンにデータが渡るのを防ぐ手だてが欠かせない。その仕掛けがシンクライアントとなる。シンクライアントの導入は、「社内からのデータ持ち出しを禁止する」というセキュリティ・ポリシーを補完することにもつながる。

 これから行う施策として、検疫システムの導入を挙げる回答も多い。ここでいう検疫システムとは、Winnyを検出・駆除するツールや検疫ネットワークなどの総称を指す。「社内でのWinnyの使用を禁止する」、「私物パソコンの持ち込みを禁止する」というセキュリティ・ポリシーの実効性を担保する仕組みとなる。

 システム面でのWinny対策は、これらに限らない。8004人分の個人情報が漏洩してしまった住友生命保険は、上司の許可を得なければ、パソコンから物理的にデータを持ち出せないようにする仕組みを構築した。例えば社員がファイルを添付したメールを社外に送ろうとすると、上司のパソコン画面にポップアップが表示される。ここで上司が許可を出さなければ、メールは送信されない。USBメモリーにデータをコピーする際にも、上司のパソコンに警告が表示される。一人の上司が平均10~15人の部下を持つので、送信メールの許可を与えるだけでも結構な手間がかかる。それでも情報漏洩を防ぐには不可欠と同社は考えている。

 システム面からWinny対策を進めるためには当然、相応のコストと手間が必要になる。ただ、運用コスト削減の要求が厳しい上に、投資すべきシステム案件もたくさんある。システム部長の悩みは当分減りそうにない。

(渡辺 享靖、安藤 正芳)

調査概要:147社のシステム部長が参加する「システム部長会」の会員を対象に、主に電子メールで質問状を送付。3月28日から4月4日までに54人から回答を得た(回収率37%)