脅威の見えない化が加速:漏えい情報のWinnyによる止まらない流通:IPA「情報セキュリティ白書」

脅威の“見えない化”が加速した2006年–IPA「情報セキュリティ白書」:CNET Japanより

先日書いた続きWinnyがアジアのユーザーの脅威に?と同じ結果がでた。

独立行政法人の情報処理推進機構(IPA)はこのほど、「情報セキュリティ白書 2007年版」(全文、PDF形式)を発表した。これは、2006年に届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報をもとにまとめたもの。

10大脅威の上位には、「Winnyによる情報漏洩」「表面化しづらい標的型(スピア型)攻撃」「悪質化、潜在化するボット」「深刻化するゼロデイ攻撃」「多様化するフィッシング攻撃」などが挙げられ、人間心理の盲点を突いた「見えない」攻撃が増えた。

1位には、漏えい情報のWinnyによる止まらない流通になっている。

あくまでも届けられたものだけで、1位になっている。ほとんど届けられているものと思われるが、そうでないものも含まれるだろう。

なぜ?止まらないのか?

止めるという概念や認識がないとしか思えない。他人事のようにしか思っていない。何の根拠もなくうちでは大丈夫!って感じだろうか。

脅威とそれが及ぼす責任すら理解出来ない人たちと、そんな大事だと思っていない使用者がいるから、なってしまうと私は考える。

結果がすべてを物語っているのではないだろうか?

昨年の報告結果に基づく内容だが、きっと今年の年末でも上位三本指くらいには入っているだろう。

Winny自体は5年も前から存在するものだ。情報漏洩が急激に増えてきたのは3年くらいだろうか。

5年前からあったもので、3年前から急激に増えてきたとしても、古い話題なのだろうか?現在でもWinnyによる漏洩で某国家機関や企業でも漏洩が起きている現実。

新しいものにも脅威はある。もちろんの話だ。

古いものだから脅威ではない・・・のだろうか?

新しいだろうが、古いだろうが、脅威は変わらない。結果として未だに発生しているのだから、対応・対策を考えなければならない。

P2PソフトはWinnyだけではないし、Winnyを使うとどうなってしまうのか?わからないから、それ以上の期待を持って利用してしまう現実がある。

Winny利用だけではないがセキュリティを考える上では、トレードオフの概念が重要になってくる。必ずしもトレードオフがすべてではないが、それらも含めて存在するリスクを見なければならない。

顕在化されたものは、対策もしやすい一方で状況としては危険な状態の寸前だ。

潜在化されたものは、ほとんどわからない。見えないからわからないのは当然の話だ。しかし危険な状況レベルで言えば、顕在化したものよりは、まだ対策する時間がある。いずれも見えるか見えないかだけの違いで、問題は抱えている事には変わらない。

責任がともなうことの責任をもっと考えなければならない。

わからない人は、自分の情報が漏れてからはじめて解るのかもしれない。

自分でどれだけ気をつけていても、どこかから自分の情報が漏れる事もあるが、1人でも気をつける事をはじめる事が増えれば・・・子供でもわかる結果は見えるはずだ。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?

ほとんどの企業において、情報セキュリティ教育のコンテンツは一巡しています。新たに知るべく脅威などもありますが、ほぼ新しいコンテンツはありません。

技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。

一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。