2次3次請けの管理までは難しい
「2次3次請けの管理までは難しい」—Winny/Share流出4回の中部電力:ITproSecurityより
多発する情報漏えい事故を背景に,多くの企業が“従業員のパソコン”に頭を悩ませている。中でも問題なのが,会社の管理が及ばない“従業員所有の自宅パソコン”。特に,多数の子会社や協力会社を抱える大企業では問題が深刻だ。
2006年だけで4回もファイル交換ソフト経由の情報漏えい事故に見舞われた中部電力も頭を抱える一社。
ただ,下請け会社までを含めた情報漏えいに対する抜本的な防止策は見つかっていないという。「業務に関する電子データを(2次,3次の)委託先会社に渡さない,というのも一つの方法だが,今の時代,そういうわけにもいかない」(武蔵原氏)。自宅パソコンに対する巨大組織の悩みは当面続きそうだ。
良いか悪いかは別にして、ファイル交換ソフトは面白い。
もちろん法的に問題のあるものや、著作権侵害になるもの・・・いろいろある。
だから、ファイル交換ソフトによる漏洩が後を絶たない理由もここにある。
しかし、企業の社会的責任を考えた場合には、ファイル交換ソフトの使用を自粛してくれ!ではお粗末な対応ではなかろうか?
そもそも論で言えば、自宅にデータを持っていくことが問題なのだが、仕事の関係上持ち帰ってしまうことはやむを得ない。
それもすべて禁止にできるのならば、もちろんそれが一番ベストなこと。
ここで注目したいのは、抜本的な防止策が見つからないこと。本当にないか?
まず技術的対策においては、Web2.0的なサービスを利用すれば現在でも安全に可能な方法はいくらでもある。
例えば、オンラインストレージに認証強化したものを利用するなどである。
または、仮想シンクライアント的に使用出来るサービスもある。
いずれもコストはかかるが、物理的にデータを持ち歩かないことを考えれば、ネットワークを利用したほうが余程安全である。反面リスクとしては、そのデータを置いている場所のセキュリティ対策がどうか?決してトレードオフの関係ではない。
非技術的対策においては、ファイル交換ソフトの使用をした場合の脅威をシミュレーションし、そこに自分の個人データが含まれていた場合、どのようなプロセスを経て流出するのかを、徹底的に知るしかない。自分に置き換えないと脅威はわからないのだ。
ファイル交換ソフトだけでも、こういう問題があり、情報漏洩全体で言えば、もっとたくさんのチェック項目がある。
決して難しいことではなく、単に目の前の端末だけしか見えないから、その脅威がわからないだけ。たったこれだけのことでも、迷惑をかけてしまうことや、損害まで出てしまう。漏洩した中身によっては被害者や、企業の存続にまで関わる大きな問題になる。
自宅パソコン自体が、この問題の本質なのだろうか?
含めたトータルな対応が企業には求められている。
頭を抱えているだけでは、必ず再発するのは時間の問題。水漏れと同様の情報漏洩には、穴の塞ぎ方と水の流れをしっかりと理解することからはじまる。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。
4 thoughts on “2次3次請けの管理までは難しい”
この投稿はコメントできません。
コメントありがとうございます。
最近、某ISPが社員の自宅PCからのWinny対策サービスをはじめたようです。
確かにインフラに繋がらなければネットワークのPCはデータが送受信出来ないので、漏れることは無いでしょう。
企業がその自宅ISP代金を一部負担することにより実現するサービスのようですが、Winny以外のものが既にあり、今後も出てくることを考えると、単にアンチウィルスさえ入れれば良いだけになります。
自宅で仕事さえしなければ発生しない問題ですが、企業のPCとか自宅のPCってことでなく、利用者に属する対策だと私は考えてます。
自宅パソコン自体がこの問題の本質ではないのは確かですが・・。おそらくこれら企業は自宅パソコン以外については既に技術的な対策を取ってますよ。その上で残った課題が自宅パソコンという記事では無いかと。もちろん対策を怠っている企業も多いでしょうが。自宅PCに対する対策があれば、おそらく新たなヒット商品になると思われます。
kondoさん、コメントありがとうございます。新倉です。
おっしゃるとおりの数式ですね。
これをわかっているのに、進めない事が多いです。
問題が発生しなければ、どっちのコストも必要ないんでしょ?なんて言われます。
情報漏洩の場合は火山噴火のように、突然わかりやすく発生するものです。しかし火山噴火でも、情報漏洩でも予兆は必ずあるのです。何もなく発生することはないです。
コスト換算も大切なことですが、企業の場合はCSR(企業の社会的責任)をもっと考えるべきですね。
技術的には十分に対策可能でしょう。「抜本的な防止策が見つからない」なんてのはやる気がないだけです。
対策のためのコスト>問題が発生した時のコスト(社会的信用の低下とか賠償金とか)
という状態なだけで。