武田氏も鵜飼氏も、P2P型情報漏えい対策に当たっては、技術的観点だけでなく、法的、社会的なさまざまな観点からの議論と取り組みが必要だと述べる。「そもそも、制御できないネットワークは容認するべきかという問題がある。容認すれば、多くの人がそのネットワークの存在におびえることになるし、規制すれば、技術発展やソフトウェア開発の自由が損なわれる」(鵜飼氏)。
さらに、Shareをはじめとする他のP2Pファイル交換システムへの情報流出への対応も必要だとした。
カンファレンスの最後には、ネットエージェントの代表取締役社長、杉浦隆幸氏が、自らの経験を踏まえつつ、情報流出後にとるべき対策について説明した。
杉浦氏がまず強調したのは、「『いったんWinnyに流出した情報は絶対に消えない』というのは嘘」ということだ。
より正確に言うと、仮に情報が流出しても、誰の興味も引かない人気の低い状態であれば、ファイルはそのまま消え去るか、ほぼ確実に回収/削除作業を行えるという。しかし拡散レベルが一定の水準を超え、掲示板などに情報が書かれるような状態になると「手のつけようがなくなる」(同氏)
杉浦氏のこれまでの観測によると「漏えい事件の半分程度では、2週間以内にWinnyネットワークから当該情報が消え、共有されていない状態になっている」という。だが、情報が拡散を続け、「だいたい共有するユーザーが10人くらいを超えると、2ちゃんねるやブログに書き込まれる可能性が高くなる」(同氏)。ひとたびこうした状況が明るみになればさらに多くのユーザーがファイルを入手しようとし、広く拡散してしまうという。また、いったん収束し、Winnyネットワークから消えたと思われた情報でも、事実公表や報道をきっかけに「再放流」されるケースもあるため注意が必要だ。
いずれにせよ肝心なのは、できるだけ早期に、できれば漏えいさせてしまった本人からの自己申告に基づいて対策に取り組めればベストということ。逆に、第三者からの通報によって事実を知るケースは「被害拡大した後に通知が行われるため、うまくハンドリングできず、対応が後手後手に回る可能性がある」(同氏)
杉浦氏は、情報漏えいが発覚した後に行うべき具体的な対策についても説明した。
まずは、何の情報がどこから漏れ、今はどのような状態にあるのかという「事実状況の確認」が必要だ。また、事件に適切に対処できるよう、技術面と広報面で責任の持てる「人の確保」も重要となる。さらに、情報漏えい元の「PCの証拠保全」も行うべきという。
同氏の経験によると、情報漏えいの詳細を調査しようとして証拠を消してしまったり、かえって被害拡大につながりかねない対応が見受けられるため注意が必要だとした。
たとえば、Winnyそのものを使って流出した情報を探し出そうとすると、その情報がキャッシュに保存されるため二次流出につながるリスクがある。また、流出元PCを使った調査は論外で、証拠が消えてしまう上、さらにほかの情報が漏えいする可能性がある。同様に漏えい元PCでのウイルススキャンも、証拠が消えてしまうため避けるべきという。
ここでポイントとなってくるのは、漏えい事実の公表のタイミングだ。とにかく情報が漏えいしたのだから迅速に公表をという姿勢は否定されるべきものではないが、慎重に検討しないまま拙速に公表すると「興味本位でその情報をダウンロードする人が増え、いっきに情報が拡散してしまう」(杉浦氏)。ことWinny経由の情報流出に関しては、「Winny上で公開が停止されていない段階での公表は二次被害を助長し、本末転倒になってしまう」(同氏)と述べた。
「漏えいを公表する目的は、二次被害を拡大しないことと、類似事件が発生しないようにすること」(杉浦氏)。公表しないことで漏えい情報の広がりを抑える手もあるが、一方で、公表しないままその情報が悪用されるリスクもある。このことを踏まえ「ケースバイケースでどちらの二次被害が大きくなるかを考え、最善の方法をとるべき」と語った。
また、漏えい後の対応もさることながら、再発防止に向けた取り組みも欠かせない。杉浦氏は「事件のほとんどは情報の持ち出しが原因である」と述べた上で、持ち出された情報をできるだけ少なくすることが大事だとした。その手段は「回収」だ。「最近ではいろいろと規則が厳しくなっていて、持ち出しに関する罰則が設けられていたりするが、それを一時緩和して会社内にデータを持ってきてくるよう呼びかけることも大事」(杉浦氏)という。
「これはどんな製品を買ってもできないこと。お金だけで解決しようとせずに仕組みで解決を」(同氏)
Copyright © ITmedia, Inc. All Rights Reserved.