« ビジネスの“攻め”に活かす「個人情報保護法対策」 | トップページ | RSA Conference での採点集計 »

2006年3月15日 (水)

Winnyを介した情報流出の対策

内閣官房情報セキュリティセンターが、以下の注意喚起を掲載しました。

Winnyを介して感染するコンピュータウイルスによる情報流出対策について

もともとは、政府内での注意喚起のために準備した資料を基に、同様の情報は一般でも有益であろうとの判断で資料や対策内容をより改善して公開となったものです。

ただし、そもそも、「Winny でまたも機密情報流出!」という表現は正確ではありません。
「Winnyで流出していた機密情報がまたも発見」というのが正確な表現です。
なので今から流出防止対策だけをやるのでは片手落ちです。

他にも、いくつか気にしなければならないことがあります。

このような具体的な手順書が示されることは、企業などで対策を検討している人達にとって、有益なことだと思われます。
そのような情報提供を継続してもらうために、情報を利用する者が心得るべきことがあります。

このような手順書を出す側からすれば、その内容に不備があれば、その点が責任問題になってしまうかもしれないということを気にし始めると、情報提供活動そのものが萎縮してしまいます。
このとき、不備には2種類あって、内容が「誤り」という場合と、「不足」という場合があるでしょう。
もちろん、誤りであれば、情報提供者は責任を少なからず持つべきです。
しかし、誤りではないが不足があったということであれば、情報の受け手は、万が一不足があっても、情報提供者の責任云々についてあまり言わないように心がけるべきです。
不足があれば、気づいた者が、追加の情報を提供するということで、不足を補うことで情報をよりよいものにしていければ、この種の情報提供活動が萎縮することはないものと思います。

ということで、対策手順の情報提供を歓迎することが大切でしょう。

で、本題のWinnyによる情報流出については、以下のようなことを考えてみました。

「Winny でまたも機密情報流出!」という表現は正確ではありません。
「Winnyで流出していた機密情報がまたも発見」というのが正確な表現です。
想像ですが、Winnyネットワークには、既に少なくない量の機密情報が流出してしまっているけれど、そこにある膨大な他の情報に埋もれていて発見されていない状況で、それらの既に流出してしまっている情報が発見され始めたというのが実態ではないかと思います。

想定問答的に説明することにします。



Q1
Winnyなどのデータ交換ツールやウィルス、スパイウェアなどのソフトウェアによる情報漏えいリスクは、今に始まったものではないと思われる。
しかし、"ここへきて急に"個人用パソコンからの情報漏えい事件が明らかになるケースが急増しているのには、何か潜在的な背景・要因があるのか。

A1
報道などを見る限り、Winny での新たな流出があったというのではなく、正確には Winny ネットワーク上に既に流出しているものの中から、不適切なファイルが、「新たに発見された」というのが正しいと思います。
ケースが急増した理由ですが、特に根拠のあるものではなく、あくまで私見ですが、これまで Winny 上にはファイル交換を目的とするユーザが存在しており、その中で偶然に企業や組織の機密ファイルがみつかっていました。
なぜなら、ユーザが Winny 上でファイルを検索するために使うキーワードは、好きなアーティストや映画のタイトルだったためです。
ここにきて、「Winny 上に機密情報などが流出している」ということが話題になったために、これまでのユーザとは異なり、「機密情報を見つける」ことを目的とするユーザが参入したのではないかと、推察します。
つまり、検索キーワードとして、「機密」とか「○○会社」などを使って検索することで、これまで既に流出していたが、膨大なファイル群の中に埋もれていた機密ファイルの類が発見されるようになったとも考えられます。



Q2
こういった問題の対策としては、もちろんセキュリティの高いシステムを入れるであるとか、システム的・技術的な問題をすぐ想像しがちだが、実はもっと、たとえば仕事場の環境の問題(1人1台パソコンがないとか)など、抜本的な問題があるのではないかと考えているのだが、その点についてはどう考えるか。

A2
そのとおりだと考えています。ただ、1人1台のパソコン環境などという単純なことではなく、いくつかの類型を考えることができます。

(1)組織が調達していないPCを業務に使うことの問題

この場合、PCに関する管理規則が及ばないのでいくらルールを設けても効果は低く、本来は業務に必要なPCのコストを充当していないことが本質的な問題となります。
さらに、建前として、「私物のPCを業務に使うな」というルールを設けていると、「私物のPCを業務で使う場合には・・・」というルールすら設けることができないために、まったく監督ができなくなります。
少なくとも、実態とルールを一致させた上で、さらに、私物にルールを適用させるにはどうするかという課題を克服しなければなりません。
実態とルールを一致させる解決策の1つは、「業務に必要なPCはすべて組織が支給する」ということだと思います。
1人1台でも、モバイルの用途があるのにデスクトップしか支給されていなければ、1人1台でも足りないということになります。また、1人1台なくても、共有PCの適切なものがあれば事足りるのであれば、必ずしも1人1台支給する必要はありません。
したがって、「1人1台ないのは問題」という表現は適当ではなく、「業務に必要なPCが支給されているか」という表現の方が適当だと思います。
一例として、「1人1台のPCが必要な業務・職場において、1人1台のPCがないのは問題」というのがあると思います。

(2)組織が調達したPCにWinnyが入っていることの問題

これも、Winnyのことだけを取ってみるとWinnyを入れる人が悪いということになりますが、Winny以外のフリーソフトで業務に役立つものはPCに自由にインストールさせているというのが実態であれば、その中でWinnyだけを規制するのは現実的ではないと思われます。
本来業務に使うソフトについては、すべて会社が管理することにしていれば、「各人が勝手にソフトをインストールするな」は実態に即しますが、実害のない文房具的なソフト(たとえば、画面に付箋を貼るなどのフリーソフト)を使って、現場裁量で業務改善をしていることについては黙認しておいて、都合の悪いときだけ、「自分で勝手にソフトを入れるな」は説得力を失います。
先の(1)が、PCというハードウェアについて、業務に本来必要なコストを充当していないとするなら、この(2)は本来購入すべき業務ソフトウェアを購入せずに済ませているという観点となります。
Winnyは業務で使う用途のソフトでない場合がほとんどだと思いますが、だからといって、業務に役立つものは勝手にインストールしてよくて、そうでないものはダメというのは、理屈の上では成り立っても、実態としては徹底できないと考えるべきです。


というようなことだと思います。
今回紹介された対策を実施することは必須です。
しかし、だからといって、その対策を完璧に実施したとしても、それ以後に情報流出が「発見」されることがなくなるということではありません。
企業は、過去に流出してしまっている情報が「発見」されたときに備えての対応も、引き続き準備しなければならないものと思います。

3月 15, 2006 |

トラックバック


この記事へのトラックバック一覧です: Winnyを介した情報流出の対策:

» Antinny 撲滅計画? トラックバック まるちゃんの情報セキュリティ気まぐれ日記
 こんにちは、丸山満彦です。今朝のNHKのニュースで、Telecom ISACが [続きを読む]

受信: 2006/03/16 1:26:00

コメント

コメントを書く