[Analysis]
「Antinny以後」の情報セキュリティ対策
2006/03/28
Winny上の暴露ウイルスによる一連の組織情報漏えい事件は、現実の企業セキュリティ対策における転換点ともいえるほど重要な警鐘として受け止めなければならないのではないだろうか。
すでにさまざまな人が指摘しているように、この一連の事件は、PC盗難などを契機とした従来の情報漏えいとの共通点も多い。しかし、今回不幸だったのは、漏れた情報が見つかりやすいこと、そして漏えいの事実が知れ渡ると、多数のインターネットユーザーの目にさらされてしまうことにある。漏えい情報は次々に発見され、被害組織や企業は、外部からWinny上の情報の存在という事実を突きつけられると、漏えいの発生を隠し通すことは難しい。しかしその一方で、被害組織や企業が漏えいの事実を発表すること自体が、より多くの人々の興味を煽り、ますます重大な被害につながってしまう可能性がある。
いま「被害」と書いたが、今回の一連の事件では、ウイルスの作者こそ責められはするものの、直接的には、企業の従業員や組織の職員自身が、ある意味で自発的に情報を流出させる結果となってしまっているということが、従来の組織における現実のセキュリティ対策に再考を迫るほどの大きなインパクトを持つと考える。
これまで、企業や組織における情報漏えいは、悪意ある者による攻撃を受けて初めて発生するというのが通常のパターンだった。「悪意ある者」の攻撃対象は金銭的な価値のある情報が集積しているコンピュータリソースに向けられていた。従って企業や組織は、重要なサーバを防御することを中心にセキュリティ対策を施してきた。
しかし、あらためて考えてみれば、通常情報システム部門が面倒を見たがらないユーザー部門のワークグループ・サーバや各ユーザーの「端末」にも、インターネット上に流れると顧客に迷惑のかかる、あるいは自社のイメージダウンにつながる情報が多数存在していることに気づく。
どのように情報セキュリティポリシーが取り決められていたとしても、現実にこうした「末端」の情報について実効的な対策がとられている企業はどれくらいあるだろうか。会社のPCの持ち帰りを禁止したとしても、もともとセキュリティ対策の対象となっていないこれらの情報の持ち出しを管理できていないのが実情だろう。
今回の一連の事件を、ユーザーの問題と片付けたがる人もいる。確かに、企業や組織は、「業務関連情報を扱う者なら誰でも、こうした情報の保全について適切な責任を負わなければならない」というルールを、社員や職員に対し、改めて明確に示すべきだろう。
しかし、社員の善意やコンピュータ・リテラシーだけに頼るのは周到さを欠いている。重要情報は社内の至るところに散在しているという現実をまず受け止め、部門サーバや端末、そして社外に持ち出すことのできる情報すべてを含めた情報セキュリティ対策を、組織として考えざるを得ないのではないだろうか。
関連リンク
情報をお寄せください:
最新記事
 |
|
|
|
|
