2次3次請けの管理までは難しい
「2次3次請けの管理までは難しい」—Winny/Share流出4回の中部電力:ITproSecurityより
多発する情報漏えい事故を背景に,多くの企業が“従業員のパソコン”に頭を悩ませている。中でも問題なのが,会社の管理が及ばない“従業員所有の自宅パソコン”。特に,多数の子会社や協力会社を抱える大企業では問題が深刻だ。
2006年だけで4回もファイル交換ソフト経由の情報漏えい事故に見舞われた中部電力も頭を抱える一社。
ただ,下請け会社までを含めた情報漏えいに対する抜本的な防止策は見つかっていないという。「業務に関する電子データを(2次,3次の)委託先会社に渡さない,というのも一つの方法だが,今の時代,そういうわけにもいかない」(武蔵原氏)。自宅パソコンに対する巨大組織の悩みは当面続きそうだ。
良いか悪いかは別にして、ファイル交換ソフトは面白い。
もちろん法的に問題のあるものや、著作権侵害になるもの・・・いろいろある。
だから、ファイル交換ソフトによる漏洩が後を絶たない理由もここにある。
しかし、企業の社会的責任を考えた場合には、ファイル交換ソフトの使用を自粛してくれ!ではお粗末な対応ではなかろうか?
そもそも論で言えば、自宅にデータを持っていくことが問題なのだが、仕事の関係上持ち帰ってしまうことはやむを得ない。
それもすべて禁止にできるのならば、もちろんそれが一番ベストなこと。
ここで注目したいのは、抜本的な防止策が見つからないこと。本当にないか?
まず技術的対策においては、Web2.0的なサービスを利用すれば現在でも安全に可能な方法はいくらでもある。
例えば、オンラインストレージに認証強化したものを利用するなどである。
または、仮想シンクライアント的に使用出来るサービスもある。
いずれもコストはかかるが、物理的にデータを持ち歩かないことを考えれば、ネットワークを利用したほうが余程安全である。反面リスクとしては、そのデータを置いている場所のセキュリティ対策がどうか?決してトレードオフの関係ではない。
非技術的対策においては、ファイル交換ソフトの使用をした場合の脅威をシミュレーションし、そこに自分の個人データが含まれていた場合、どのようなプロセスを経て流出するのかを、徹底的に知るしかない。自分に置き換えないと脅威はわからないのだ。
ファイル交換ソフトだけでも、こういう問題があり、情報漏洩全体で言えば、もっとたくさんのチェック項目がある。
決して難しいことではなく、単に目の前の端末だけしか見えないから、その脅威がわからないだけ。たったこれだけのことでも、迷惑をかけてしまうことや、損害まで出てしまう。漏洩した中身によっては被害者や、企業の存続にまで関わる大きな問題になる。
自宅パソコン自体が、この問題の本質なのだろうか?
含めたトータルな対応が企業には求められている。
頭を抱えているだけでは、必ず再発するのは時間の問題。水漏れと同様の情報漏洩には、穴の塞ぎ方と水の流れをしっかりと理解することからはじまる。
現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?
技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。
一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。