相変わらず情報流出事件があとをたたないですね。 この日記を読んでる人は技術者のかたが多いと思うのですが、 みなさんはどう感じていますでしょうか?
Winny なんて使ってるからだ、とか
トロイの木馬に引っ掛かるからだ、とか思いますね、ふつう (^^;)。
確かにこれだけ社会問題化しているのに、 いまだに Winny を使い続けるのはどうかと思いますが、 情報漏洩の観点から見れば Winny は単に経路の一つに過ぎないわけで、 トロイの木馬に引っ掛るのであれば、あらゆる経路が利用可能でしょう。
そして、トロイの木馬は、いくらでも巧妙化できるので、 騙される人はあとをたたないでしょう。 「振込め詐欺」があとをたたないのと同じです。 よっぽど人数が少ない会社でない限り、 従業員の全てに「絶対に騙されない」よう求めるのは非現実的かも知れません。
ウチの会社は Winny を禁止しているから大丈夫、なんて思っていると、 ある日突然、社外秘のはずの情報が某掲示板などで晒されて大慌て、 などということになるかも知れません。 なにせ、たった一人の従業員が騙されてトロイの木馬を実行するだけで、 漏洩は起こり得るのですから。
かといって漏洩経路の大元であるインターネットとの接続を断つ、 というのはインターネットがこれだけ便利なものになってしまった昨今、 なかなか難しいものがあります。 今や何をするにも、まずちょっと google で調べてから、というのが 習慣化している人も多いのではないでしょうか。 そもそもセキュリティってのは利便性とのトレードオフであって、 漏洩を防ぐためにインターネットを使わないというのは、 漏洩が恐いから社外秘の情報は全て金庫にしまっておく、と 言ってるのと大差ないわけです。
では、どうすればいいのか?
セキュリティの基本、すなわち「教育」に立ち戻るべきでしょう。 セキュリティというと、ファイアウォール、IDS、シンクライアント、 暗号化、セキュリティトークン、USB の無効化、... 等々、 ありとあらゆる仕掛けが雨後の竹の子のように提案されていますが、 シンクライアント化を押し進めていたはずの某巨大企業グループでも 情報漏洩事件が起きたように、 仕掛けだけでは自ずと限界があります。
「従業員のセキュリティ意識向上」抜きには、
どんな仕掛けも「仏作って魂入れず」になってしまいます。
まずは、従業員一人一人が、
自分のPC の中にどんな情報が入っているか把握すること、
自分のPC が漏洩元になるかもしれない、という意識を常に持つこと、
こそが情報漏洩対策の第一歩だと私は思います。
とても小さい一歩のようにも見えますが、 もし従業員一人一人が、自身の問題として、 自分の PC 内の情報の把握することの必要性を実感した上で行なうのであれば、 把握するだけでも大きな効果を発揮することでしょう。
まずはできるところから、一人一人が自分の PC をスキャンして、 どんなファイルがハードディスクの中に入っているか確認するだけでも、 それが自発的な行動であるなら、 漏洩防止に向かって大きな一歩を踏み出すことになります。 大掛かりな仕掛けより、一人一人の意識改革が重要、そんな思いから 個人情報スキャナ P-Pointer を開発しています。 無料体験版をダウンロードしてお試し頂けます。
[お仕事][セキュリティ] 情報漏洩対策
仙石浩明CTO の日記 情報漏洩対策は、一人一人のセキュリティ意識向上から 仙石浩明さんのstoneには、お世話になっていました。 「従業員のセキュリティ意識向上」抜きには、どんな仕掛けも「仏作って魂入れず」になってしまいます。まずは、従業員一人一人が、 自分のPC
Comment by 徳島で生活する父より — 2006年5月13日 @ 22:01