インターネット実務検定協会 インターネット実務検定協会ロゴ
ホームに戻る 協会の概要 Q&A コラム リンク お問い合わせ サイトマップ 資料請求
 
   
  パソネタ3分クッキング  
   
     
 
第29回 情報セキュリティクライシスを産む最新機器
 

 

  最近は、さまざまなPCやその周辺機器がそろってきており、会社などの組織の単位では、それが大きなセキュリティクライシスを産むことになる、というものも増えてきています。

  今回は、情報リテラシーや情報モラルを考える立場から、問題が起こる可能性のあるPCや機器についてのお話です。

●PCそのものの持ち込み

  最近は、個人のPCそのものを職場に持ち込んだり、あるいはその逆で、組織のものであるPCを個人宅に持っていったり、ということをしている、あるいはできる、組織が非常に多いようです。当然のことですが、これらのPCの扱いは非常に微妙なものであることは言うまでもありません。会社によっては、既に「個人のPCは持ち込み禁止」というところもあります。

  しかしながら、多くの組織では、このあたりはまだ野放し、というところが多いのが現状です。実際に、会社が経費削減でPCなどを十分な数、買えないために、個人のPCの持ち込みを禁止した場合、仕事で使えるPCがなくなってしまう、というような職場さえ存在する、というのが現状です。まるでタクシー会社に運転手だけがいて、クルマがない、というような状況と言っても良いのですが、これはあきらかにその職場の上司や経営者の怠慢といっても良いでしょう。

  もっとも、セキュリティそのものはコストとの兼ね合いが大切なものなので、「この会社の持っている情報はたいしたものではない」という認識があれば、このような対応でも、悪い、とは言えないわけですが。

●取り外し可能なストレージデバイス

  PCは会社支給のものであっても、PCの周辺機器を買ってもらえないので、これを持ち込みとしたり、「それらしくない」ものが知らないうちに持ち込まれていたり、ということも最近は増えているようです。
  たとえば、USB等に接続するタイプのハードディスクは、大変に多くの種類が商品として安価に売られていますから、これらの中に、会社の重要なデータを入れて持ち歩く、ということも最近は増えています。前記の通り、会社と個人宅でPCの持込が相互にできない、という場合は、ポータブルタイプのハードディスクで同じようなことができてしまいます。
  また、ハードディスクのような「それらしい」形をしていなくても、たとえばデジカメや音楽プレイヤーなどは、既にハードディスクと同じ「USBに接続できる」「ハードディスクと同じように使える」ものが多数あります。これらのデバイスは、ハードディスクそのものではないため、上記のような「PC持込禁止」をしている企業でも、「持ち込み禁止物リスト」から漏れている場合があります。

CD-R、DVD-R等の書き込み可能な媒体

  また、業務によっては、業務履歴の保存などを「CD-R」等の媒体に入れて記録をしているところもあるかと思います。これらの媒体にも多くのデータを入れることができます。そして、他のものとおなじように、ちょっと見ただけではそこになにが入っているかわかりません。ですから、こういったものでの情報流出は大変に多いもの、と言わなければなりません。

●ネット

  そして、最大の情報の出入り口である「ネット」は、以上のような「物理的媒体」を持たないので、ここからの情報流出が起こることが最近では大変に多くなっています。

  先日話題になったYhoo!BBの470万人の顧客情報の流出も、この経路で行われたものです。米国ではアーカンソー州の顧客情報を扱う企業で、8.2GBぶんの顧客データの流出があった、というニュースが先日ありましたが、これもYahoo!BBとおなじように、ネットからの侵入によって情報が流出しました。数百万人分「過去最大のデータ量の顧客情報」データは要するに「たった」8.2GBしかなかったのです。これは、最近の2.5インチのポータブルハードディスクの最大容量である80GBの1/10でしかありません。今は、そういう時代なのです。

  重要なデータを扱う組織においては、上記のようなデバイスの利用、ネットの利用を、その利便性をどこまで犠牲にして、制限するか、という「バランス」が非常に大事なものになります。もちろん、それには実際にリスクを犯してしまった場合の損失などが勘案されなければなりません。

●データ漏洩対策

  そこで、技術的にデータ漏洩を防ぐには、どのようにするか、ということ、特に外部に接続された機器に対してはどのようにするか、ということを考える必要があります。

  一番簡単なのは、文書等のデータを暗号化しておくことです。ExcelやWordのデータは、簡単に暗号化できますし、データのアーカイブソフトウエアには、通常、標準で暗号化の機能が入っています。これらの機能をより積極的に使っていく、ということがこれからは必要になってくることでしょう。

●あまり重要ではない?ものもあるが

  そうは言うものの、そこまでの手間と時間=お金を使って、自分の組織のデータを守ったところで、たいしたことはない、というデータもまた存在します。要するに、セキュリティにかけられるお金は有限ですから、あくまでコストや、損失時の損害額との兼ね合いのもと、セキュリティ対策は行われることが普通、ということです。

  しかしながら、あまり重要ではないデータが相手にとっては非常に重要なデータとなる、という場合もないわけではありません。そのデータ流出により会社がこうむる社会的な評判などの金額に算定できないダメージもまた、考えに入れておく必要があります。

  かたちもなければ、それを扱う人によってくるくると価値の変わって行く「情報」の不正な取得などは、実は価値算定やリスク算定が難しいものです。やはりそれ専門のコンサルティング会社に、これらの算定をしてもらうのが一番よいと思われます。

  前回もお話した通り、多くの企業では、いまや「経営者が社員を信用しない」ことも必要になってきた世の中です。いかに具体的、物理的に規則などを作っていくか、技術的な対策をとるか、ということが、必要になってきています。

 

 

  
     
   
  ※ここでは、このコラムの著者三田典玄氏が撮影された写真の中から、著者選りすぐりの作品を毎回数点ずつ掲載しています。  
 



L.A. 3