ニュース
» 2006年03月17日 23時22分 公開

「人×プロセス×技術」の対応が必要――マイクロソフト奥天氏

マイクロソフトの奥天陽司氏は、「Antinny」およびその亜種を通じて情報流出が止まらない事態に対処するには、企業内で情報ガバナンスを確立させていくことが重要だとした。

[高橋睦美,ITmedia]

 「(Microsoftの本社がある)レドモンドに行くと『日本は大丈夫なのか』と聞かれる」――マイクロソフトのセキュリティレスポンスチームのマネジャー、奥天陽司氏は、Winny経由で感染を広めるウイルス「Antinny」およびその亜種を通じて情報の流出が止まらない状況の深刻さをこのように語る。

 マイクロソフトは2005年10月、「悪意のあるソフトウェアの削除ツール」でAntinnyへの対応を開始した。その結果、最初の2週間で約20万台、3月1日時点までに35万台の端末からAntinnyが削除されたという。しかし「いったん削除したにもかかわらず、再感染するユーザーもいる。最低でも4分の1は再感染し続けているようだ」(奥天氏)

 その背景には、ステルス性が高く、感染になかなか気付きにくいというAntinnyの特質もある。だが一方で、ユーザーの側に「(ツールで)いったんきれいにしたから大丈夫」という思い込みもあるのではないかと奥天氏は懸念する。

 マイクロソフトは3月15日に、悪意のあるソフトウェアの削除ツールをバージョンアップし、Antinnyの亜種43種類の駆除に対応させた。同社は今後もAntinny亜種への対応を進めるほか、通称「山田ウイルス」「ドクロウイルス」と呼ばれる、Antinny以外の情報暴露ウイルスの削除もサポートする計画だ。

 しかし「このツールが行うのは、あくまで環境をきれいにする一時的措置」(同氏)。ウイルス対策ソフトなど他の手段と組み合わせつつ、継続的かつ根本的に対処していくことが重要だと述べた。

ガバナンスを確立させる機会に

 では、根本的な対策には何が必要なのか。

 まず挙げられるのは、ユーザーの理解やリテラシーを高めていくこと。奥天氏は、Winnyというツールには「中毒性がある」とし、それゆえに生じているモラルハザードに対処するために、「何が危険か」「なぜ情報が重要か」といった事柄に対するリテラシーの向上が必要だとした。

奥天氏 マイクロソフトの奥天陽司氏

 ただ一方で、人に頼り切ることも問題だと同氏。高いリテラシーを支援するための技術やシステム的な仕組みを整備していくことも重要だという。

 「セキュリティとは『人』と『プロセス』と『技術』の掛け算。人の部分がゼロならば総和はゼロになる。人と会社の仕組み、それらを手助けする技術が統合されなければ十分な効果は得られない」(奥天氏)。プロセスの見直しや企業内の端末を完全にコントロールするテクノロジーに加え、ユーザーみなが「なぜそれをやってはいけないのかを理解し、腑に落ちた上でポリシーを実行していくことが必要」という。

 その意味で、Antinnyによって浮上した情報流出問題は、企業内で情報ガバナンスを確立していくきっかけになるのではないかとした。

 「これまでもガバナンスの重要性は指摘されてきたが、掛け声だけに終わってきた。具体的、現実的な方法が語られてこなかった」(同氏)。本気でWinny経由の情報流出に取り組むならば、ディレクトリサービスを通じて、社内の端末のみならず持ち出しPCや業務を行う自宅のPCまでも、完全に管理し、コントロール下に置くことが必要だという。

 「自宅のPCで仕事をするならば、それも会社の一部として扱う必要がある。ならば、会社のポリシーを適用すべき」(奥天氏)

 それを具体化するツールの1つが、同社の「Active Directory」だという。

 具体的には、社内のクライアントPCについては制限ポリシーによって、Winnyなど業務に無関係なアプリケーションの実行を制限するとともに、すべての通信をIPSecで暗号化することで、クライアント証明書を持たない「非公認PC」の接続をブロックする。自宅や外出先から社内ネットワークに接続するPCについても同様のルールを適用するほか、Windows Rights Management Services(RMS)によってデータそのものの流れをコントロールし、USBメモリなどの外部メディアを通じた持ち出しを制御する、という具合だ。同社では、その具体論をまとめたホワイトペーパーを近々TechNetで公開する計画という。

 こうした環境では、エンドユーザーは少なからず不便さを強いられる。それが、情報流出の思わぬ「抜け道」につながるケースも報告されている。しかし奥天氏は、「まずはエンドユーザーに試してもらい、繰り返すことによって、その不自由さが必要であるということを認識してもらいたい」と述べた。

 「『業務部門(の反発)が強いからこうしたコントロールはできない』というのでは、ガバナンスが実現できているとはいえない。つまり、ITを制御しておらず、使おうともしていないということ」(同氏)

 またこれだけの仕組みを実現するとなると、相応のコストが掛かる。しかし「できる、できないの違いは、お金ではなくガバナンスの違い」と奥天氏。受け入れられないリスクをどうするのかを考えたうえで、「企業としてのガバナンスを効かせ、管理者がリーダーシップを取って会社のポリシーを適用していくいい機会になる」とした。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -