現在位置:
  1. asahi.com
  2. ITセキュリティ情報センター

ニュースから学ぶセキュリティの鍵

データ漏洩は75日じゃ収まらない

コンピュータウイルス、ハッカーによる不正アクセス、ボットによる攻撃など、情報セキュリティというと「外部からの攻撃を防ぐ」ことを思い浮かべる人が多い。しかし、多くの人が集うビジネスの現場では、「内部の不正」を防止することも重要なポイントとなる。

たとえば先月、こんな事件があった。

東京地検事務官を停職 職員270人のメールなど盗み見(2008年9月13日)

東京地検は12日、同地検事務局総務課の40代の男性事務官を停職1カ月の懲戒処分にしたと発表した。発表によると、この事務官は昨年10月から今年8月までに、検察庁内部のコンピューターシステムに不正にアクセスし、約270人の職員のメールや刑事事件の処理などに関する情報を盗み見ていた。各職員がパスワードを初期設定のままにしておいたので、容易にアクセスできたという。

同地検は、この事務官を不正アクセス禁止法違反容疑で取り調べたが、これらの情報が外部に流出していないことなどから同日付で起訴猶予処分にした。上司の総務課長ら3人も厳重注意処分にした。

停職になった事務官は興味半分で情報をのぞき見していただけのようだが、顧客情報等をコピーして外部に売却するなど、悪用される可能性もあった。紙の資料をコピーして持ち出すのと違い、データは大量でもあっという間にコピーし、小さなUSBフラッシュメモリーひとつで持ち出せてしまう。それを考えると、内部で誘惑に負ける人が現れても情報を守れるよう、ルールとシステムを整備する必要がある。

今回の事件では、各職員がパスワードを初期設定のままにしていた。セキュリティ機器やソフトを導入する以前の運用ミスと言える。この種のパスワードは、システム管理者等によって割り当てられ、本来なら各自が最初に変更すべきもの。初期パスワードが全員共通、もしくはユーザー名や社員番号等と同一であれば推測できるし、部署単位で紙の資料が配付されていて盗み見しやすい状況になっていることもある。

特に社員数が多い職場、外部スタッフの出入りが多い職場では、別人としてシステムにログインする「なりすまし」がバレにくい。各自に初期パスワードの変更を義務づけるだけでなく、システムへのログインをパスワードとICカードなどとの併用にするなど、なりすましを防ぐシステムを検討すべきだろう。

先月は、元上司を困らせる目的で、退職した会社の通販サイトの会員データ約1万人分を消去した男性が逮捕されたという事件もあった。退職後にもIDが有効なままだったため、自宅からサーバーにアクセスできた。実害は少なかったが、情報の完全復旧には1ヶ月以上を要したという。システム管理者には社員の異動や退職に応じて迅速に情報システムの利用権限を調整することも求められる。

米ウォール街のある金融機関では、大規模なリストラに際して、職員に解雇を通知する前に情報システムのIDをロックし、内部情報へのアクセスはもちろん、自分のメールもチェックできないようにしていたなんていう話も聞く。冷酷で非情な措置だが、解雇をきっかけにした情報漏洩を防ぐ効果は抜群だったことだろう。

企業での情報漏洩は、USBフラッシュメモリーやCD−Rなどにコピーして持ち出されるほか、電子メールやインスタントメッセージング(IM)、ウェブの電子掲示板への書き込みなどによることも多い。扱う情報の種類や規模によっては、職場での情報へのアクセスや通信内容を機械的に監視/制御するシステムの導入を検討するのもよさそうだ。 データベースのデータやファイルに対して重要度を設定しておき、社外秘に分類されるファイルのメール添付や外部へのコピーを止める、許可されていない掲示板への書き込みをできなくする等の対策が取れる。ファイルの圧縮や暗号化への対応も可能だ(一番簡単なのは、監視システムで確認できないデータはチェック回避目的と断定してすべて遮断すること)。通信履歴、操作履歴を残すのも効果がある。

このような監視系のシステムを導入する際は、社員に秘密にしておくよりも、きちんと事前に告知した方がいい。後から明らかになれば反感を招くし、「見られている/記録が残っている」と知らせておけば興味本位のデータののぞき見や情報漏洩を抑止する効果を期待できるからだ。もちろん、監視する側であるシステム管理者や上司が誘惑に負け、興味やパワーハラスメント等の目的で他者の通信内容を見ないよう対策を立てる必要があるのは言うまでもない。

先月は、同僚の会話に興味を持った40代の男性が職場に盗聴器を仕掛けて自席で聞いていたという記事も掲載されていた。一歩間違えば犯罪という行為を、安易に実行してしまう人は意外と多いのかも知れない。情報セキュリティ対策は、このような人々から職場を守るだけでなく、彼らを《自分自身》から守るのにも効果がありそうだ。 内部に対するセキュリティ対策を「性悪説にもとづき社員を犯罪者扱いするもの」と考え腹を立てる人もいる。しかし、そうではなく、「《誘惑に負ける弱い人》がルール違反を犯してしまうのを予防するもの」と考えてはどうだろうか。

著者プロフィール
斎藤幾郎
フリーライター。パソコンやインターネット等の初心者向けの解説記事を中心に手がける。現在、朝日新聞土曜版「be」で「デジタル若葉マーク」を連載中。同紙「てくの生活入門」にも寄稿。近著に「パソコンで困ったときに開く本2009」(アサヒオリジナル)「グーグル100%利用術」(朝日文庫)「てくの生活入門」(講談社、一部を担当)などがある。「新刊「すごく使える!超グーグル術」(ソフトバンククリエーティブ)が2009年3月19日に発売。」

最新ウイルス情報

最新ウイルス情報
ウイルス名 危険度 発見日
(月/日/年)
1 ThreatNuker
2 Packed.Generic.210 1 02/25/09
3 W32.Ackantta.B@mm 2 02/25/09
4 Backdoor.Syzoor 1 02/25/09
5 W32.Spamuzle.E!inf 1 02/24/09
6 W32.Spamuzle.E 1 02/24/09
7 Trojan.Mdropper.AC 1 02/23/09
8 Bloodhound.PDF.8 1 02/20/09
9 SymbOS.Exy.A 1 02/20/09
10 SymbOS.Exy.B 1 02/20/09
危険度の高いウイルス情報
現在、情報はありません。

ホットトピックス

人気ダウンロード