インターネット上には多数の便利なソフトが無料で公開されている。しかし、業務のPCに勝手にインストールしていいものだろうか。なぜ「勝手にインストール」がダメなのかを考える。
大手総合商社であるメデア商事株式会社の営業部3課の新人・小林ケンタは、明日の社内プレゼン用の資料作りに追われていた。
小林 あっ、いいもの見ぃ〜つけたっ♪
ちょうどそこに通りかかった課の先輩・高柳ワタルが興味深そうに覗き込んだ。
高柳 何、いいもの見つけたんだ?
小林 高柳さん、明日のプレゼンに使えそうなフリーの画像素材を見つけたんです♪
高柳 へぇ〜。どこにあるんだ?
小林 あるP2Pファイル共有ネットワークです。
高柳 おいおい……。
小林 ……何か?
高柳 それを使うためには、何かインストールしなきゃ使えないんじゃないか?
小林 はい、P2Pファイル共有ソフトをインストールしないといけないみたいですけど。
高柳 P2Pファイル共有ソフトをインストールしていいって許可はもらったか?
小林 えっ? ソフトをインストールするのに許可が必要なんですか?
ファイル共有ソフトウェアといえば「Winny」が“有名”だ。Winnyを介した情報漏洩事故も数多く発生している。この問題の根本的な原因は、(1)機密情報を扱うPC上に業務と直接関係のないソフトウェアであるWinnyがインストールされていた、(2)業務で用いるのに適切ではない状態のPCに機密情報を置いてしまったこと──の2点だが、原因はそれだけではない。
Winnyを介してPC上の情報を無差別にネットワーク上にばら撒いてしまう「Antinny」などのいわゆる“暴露ウイルス”に感染したまま気付かずにいた、つまりウイルス対策が充分ではなかったことも大きな原因といえる。
企業では、業務で使用するPCにインストールするソフトウェアを必要最低限に限定しているのが一般的である。通常、許可しているソフトウェアは、業務で直接利用しているもので、情報システム部のシステム管理者が動作確認したものである。
このように限定している理由はセキュリティ上の目的がメイン。システム管理者がインストールされているすべてのソフトウェアを把握することで、それらのソフトウェアのセキュリティ上の問題(脆弱性)が発見された場合に、速やかな対応を行ないやすくするためだ。
また、ネットワーク上で配布されている(無償の)ソフトウェアをむやみにインストールさせないという目的もある。ネットワーク上ではさまざまなソフトウェアが配布されており、その中には有料で販売されているソフトウェアと同等もしくはそれ以上の機能を持ったものもある。しかし、中には「便利なソフトウェア」と偽って、機密情報を盗み出したり、システムを破壊したりするといった、いわゆる「トロイの木馬」と呼ばれる悪質なソフトウェアも決して少なくはないのだ。
したがって「便利そうだ」という理由だけでむやみにネットワークからダウンロードしたソフトウェアをインストールすることは大変危険だ。このようなリスクを軽減させるために、業務で使用するPCへのソフトウェアのインストールには、厳密な制限をかける必要がある。
小林 PCに好き勝手にソフトをインストールしちゃいけないというのは分かりましたが、P2Pファイル共有ソフトはそれなりに広く使われている実績があるし、比較的新しいソフトウェアでちゃんと開発者が面倒を見ているみたいだから、脆弱性情報にさえ気をつけていればOKなんじゃないんですか?
高柳 そういう問題じゃないだろ。そもそもファイル共有ソフトウェアは業務に直接必要なものか? どうしてもそれがないと業務が立ち行かないほど必要なものか?
小林 えっと……、そこまでのものではないです……。
高柳 残念だが今回は、そのフリーの画像素材を使うのは諦めた方がいいな。
小林 はい……。
自分がプライベートで使い慣れているソフトウェアを業務用のPCにインストールしたいと思うことはよくある。しかし果たしてそれが業務に本当に必要なものなのか、また会社で用いる上で充分に「安全」と言えるのか、改めて検討してみよう。その上で、業務に必要だと判断した場合は、情報システム部などのシステム管理者に相談してみてはどうだろうか?
一般的にシステム管理者は、業務で使用するソフトウェアを充分に検討・検証した上で可/不可を判断する。もしかすると希望のソフトウェアをインストールして使用することが許可される可能性もある──かもしれない。
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築等コンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら。
Copyright © ITmedia, Inc. All Rights Reserved.