Winnyなどのファイル共有ソフトのネットワークに重要情報が流出した場合に、企業が優先すべき行動や、流出した情報を不用意に拡散させないための方法とは何だろうか。
数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。
わたしは仕事柄、これまでに多数の情報漏えい事件を観察してきましたが、「知らないと対策は打てない」という基本的なことが極めて重要だと強く感じています。世間には、情報漏えいを防ぐ対策や専用ツール、USBメモリの管理方法といった情報が山のようにありますが、実際に発生した場合に最初にすべき行動についての情報はほとんどありません。P2Pへの対策や漏えい後における対策について、実際にわたしが日々行っている内容から紹介します。
A 「いったい誰がやったんだ!」
B 「総務部のS君のようです」
A 「まったく! 自宅でもWinnyを使うのは禁止されているはずだろう」
B 「確かにそうです。先月のセキュリティ教育でも話しています」
A 「マスコミ対応はどうなっているんだ」
B 「今、広報部と発表内容のチェックをしています」
A 「会社の責任問題になるのは必至だぞ。せめてSが勝手にしたという点を強調して、会社は逆に被害者の立場であることを世間に訴えるようにしてくれ」
B 「はい、もちろんそういう方向にしたいと思います。ただ、漏えいされたお客様の人数や内容はまだ調べ終えていません」
A 「そんなものは、今判明している情報だけでいい。それより、この責任は誰が取るのかということの方が心配だ。ところで、Sの身柄はどうなっているんだ?」
B 「取りあえず上司2人とコンプライアンス部の3人、システム部の人間が、Sの自宅で家族を含めたヒアリングとPCの内容を調べています」
A 「マスコミには誰が発表するんだ?」
B 「CIOの取締役、副社長、広報部長、人事部長の4人です」
A 「まあ、妥当な線かな。社長はどうするんだ?」
B 「はい、高齢ということもあり、“心臓が弱い”という理由で出席しません」
WinnyなどのP2Pソフトを社内外で禁止している会社は相当数に上ります。しかし、自宅での使用を監視したり、トレースやチェックなどをきちんと行ったりしている企業はまだまだ少数派であり、特に中小企業では費用面からもなかなか実現できません。また、上記のようなやり取りをしてからマスコミ発表する企業も多々あると思われます。
ここにはある視点が欠落している、もしくはあっても希薄になっている部分が見て取れます。本当の被害者は、会社でも担当役員でも上司でもなく、情報を漏えいされた「お客様」だということです。時々、上記のように漏えいされた個人情報を心配するのではなく、自分たちの状況や会社そのものの評判ばかり気にして、顧客の状況をまったく心配していないというシーンが見受けられます。
会社の機密情報や顧客情報がWinnyの暴露ウイルスによって流出した場合、Winny漏えい対策専門家を自称する人には、「一度ネットワークに流出した情報は回収が不可能だ」と言います。この言葉は一般論としては確かに正しいものの、そうではない部分もあります。
漏えいが発生してどのくらい時間が経ったのか、どの程度ネットワーク上に情報が広まっているのかによって実際は異なりますが、まず言えることは、企業がマスコミに漏えいの事実を発表してしまうと情報回収の手立てが完全に消えてしまういう点です。逆に1時間でも早く手立てを講じることで、拡散の被害を最小限に抑えることが可能です。
ネットワーク上に漏えいした情報をほぼ回収できる可能性もあり、実際にわたしの会社ではそのサービスを提供しています。結果として、Winny上から漏えいした情報がほとんど無くなったというケースも多数あります。
Copyright © ITmedia, Inc. All Rights Reserved.