2次3次請けの管理までは難しい

「2次3次請けの管理までは難しい」—Winny/Share流出4回の中部電力ITproSecurityより

多発する情報漏えい事故を背景に,多くの企業が“従業員のパソコン”に頭を悩ませている。中でも問題なのが,会社の管理が及ばない“従業員所有の自宅パソコン”。特に,多数の子会社や協力会社を抱える大企業では問題が深刻だ。

2006年だけで4回もファイル交換ソフト経由の情報漏えい事故に見舞われた中部電力も頭を抱える一社。

ただ,下請け会社までを含めた情報漏えいに対する抜本的な防止策は見つかっていないという。「業務に関する電子データを(2次,3次の)委託先会社に渡さない,というのも一つの方法だが,今の時代,そういうわけにもいかない」(武蔵原氏)。自宅パソコンに対する巨大組織の悩みは当面続きそうだ

良いか悪いかは別にして、ファイル交換ソフトは面白い。

もちろん法的に問題のあるものや、著作権侵害になるもの・・・いろいろある。

だから、ファイル交換ソフトによる漏洩が後を絶たない理由もここにある。

しかし、企業の社会的責任を考えた場合には、ファイル交換ソフトの使用を自粛してくれ!ではお粗末な対応ではなかろうか?

そもそも論で言えば、自宅にデータを持っていくことが問題なのだが、仕事の関係上持ち帰ってしまうことはやむを得ない。

それもすべて禁止にできるのならば、もちろんそれが一番ベストなこと。

ここで注目したいのは、抜本的な防止策が見つからないこと。本当にないか?

まず技術的対策においては、Web2.0的なサービスを利用すれば現在でも安全に可能な方法はいくらでもある。

例えば、オンラインストレージに認証強化したものを利用するなどである。

または、仮想シンクライアント的に使用出来るサービスもある。

いずれもコストはかかるが、物理的にデータを持ち歩かないことを考えれば、ネットワークを利用したほうが余程安全である。反面リスクとしては、そのデータを置いている場所のセキュリティ対策がどうか?決してトレードオフの関係ではない。

非技術的対策においては、ファイル交換ソフトの使用をした場合の脅威をシミュレーションし、そこに自分の個人データが含まれていた場合、どのようなプロセスを経て流出するのかを、徹底的に知るしかない。自分に置き換えないと脅威はわからないのだ。

ファイル交換ソフトだけでも、こういう問題があり、情報漏洩全体で言えば、もっとたくさんのチェック項目がある。

決して難しいことではなく、単に目の前の端末だけしか見えないから、その脅威がわからないだけ。たったこれだけのことでも、迷惑をかけてしまうことや、損害まで出てしまう。漏洩した中身によっては被害者や、企業の存続にまで関わる大きな問題になる。

自宅パソコン自体が、この問題の本質なのだろうか?

含めたトータルな対応が企業には求められている。

頭を抱えているだけでは、必ず再発するのは時間の問題。水漏れと同様の情報漏洩には、穴の塞ぎ方と水の流れをしっかりと理解することからはじまる。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。

4 thoughts on “2次3次請けの管理までは難しい

  1. 新倉 茂彦 より:

    コメントありがとうございます。
    最近、某ISPが社員の自宅PCからのWinny対策サービスをはじめたようです。
    確かにインフラに繋がらなければネットワークのPCはデータが送受信出来ないので、漏れることは無いでしょう。
    企業がその自宅ISP代金を一部負担することにより実現するサービスのようですが、Winny以外のものが既にあり、今後も出てくることを考えると、単にアンチウィルスさえ入れれば良いだけになります。
    自宅で仕事さえしなければ発生しない問題ですが、企業のPCとか自宅のPCってことでなく、利用者に属する対策だと私は考えてます。

  2. え?と より:

    自宅パソコン自体がこの問題の本質ではないのは確かですが・・。おそらくこれら企業は自宅パソコン以外については既に技術的な対策を取ってますよ。その上で残った課題が自宅パソコンという記事では無いかと。もちろん対策を怠っている企業も多いでしょうが。自宅PCに対する対策があれば、おそらく新たなヒット商品になると思われます。

  3. 新倉 茂彦 より:

    kondoさん、コメントありがとうございます。新倉です。
    おっしゃるとおりの数式ですね。
    これをわかっているのに、進めない事が多いです。
    問題が発生しなければ、どっちのコストも必要ないんでしょ?なんて言われます。
    情報漏洩の場合は火山噴火のように、突然わかりやすく発生するものです。しかし火山噴火でも、情報漏洩でも予兆は必ずあるのです。何もなく発生することはないです。
    コスト換算も大切なことですが、企業の場合はCSR(企業の社会的責任)をもっと考えるべきですね。

  4. kondo より:

    技術的には十分に対策可能でしょう。「抜本的な防止策が見つからない」なんてのはやる気がないだけです。
    対策のためのコスト>問題が発生した時のコスト(社会的信用の低下とか賠償金とか)
    という状態なだけで。

この投稿はコメントできません。