bannerkantou.gif


漏えい事故から、いかに行政情報を守るか
トレンドマイクロ株式会社 戦略企画室室長
小屋晋吾
こや・しんご 東京経済大学経済学部卒、1995(平成7)年に株式会社リンク(現トレンドマイクロ株式会社)入社。インテグレーテッドシステム本部長などを経て現職。日本ネットワークセキュリティー協会理事を務めるなど、情報セキュリティ分野の第一人者。



 Winnyによる個人情報や企業機密情報の漏えいが問題となっている。新聞紙上やインターネットでは多くの情報漏えい事件が報道され、企業・団体はその対策を求められるようになった。また官房長官がWinny自体の使用自粛をコメントするなど社会に大きな影響を与えている。多くの自治体でも情報漏えい対策を実施し、事故を防ぐ手立てをとっていると思うが、改めてどのような対策が必要かまとめてみた。
 まず組織的対策として、守るべき対象の情報に関する規定の整備は欠かせない。自治体は法的規制や政府の指導もあり、民間よりも進んでいる部分もあるが、定期的な見直しや監査についてはまだ課題がある。ITの脅威は情報環境の変更や新たな不正手段の発生により即座に変化する。これに対応するためには、定期的な監査および規定の変更が必須となる。
 技術的対策の焦点としては、データの持ち出しへの抵抗力を高めることだ。その手法として、情報ごとの適正なアクセス権限の設定、データの暗号化、外部記憶装置及び外部記憶媒体の使用制限、外部パソコンの持ち込み制限、庁内使用パソコンへのWinnyなども含む不要ソフトウェアの導入禁止をいかに徹底できるかである。相応の費用はかかるが外部記憶媒体をシステムで制限するソフトウェアも存在する。また、検疫ネットワークも外部パソコンの持ち込み制限を自動化してくれる。ウイルス対策の徹底は不正なプログラムの庁内侵入を防御し、結果として情報漏洩を防ぐための有効なツールとなりうるだろう。
 人的対策は最も難しい。多くの職員にとって新聞やニュースで流れる情報漏えい事故は自分の身の上に起きる事ではないのである。より具体的に脅威の存在を教育した上で、規則を認識させ、さらにその規則を破るとどのような被害が職員・団体ともに発生するかを繰り返し説かなければならない。また、事故発生の抑止力を高める必要もある。前段の技術的対策の存在を明らかにし、職員の行動はシステム管理者から把握されていること、さらには訓練や監査の目的での定期的な抜き打ちテストを実行すると効果は高まると思われる。
 これらの対策を組み合わせて事故を防ぐのであるが、脅威は変わるものだ。常に変化をキャッチアップし、対応しなければ防ぐことは困難である。ITセキュリティは成功事例がまだまだ少ないが、自治体のように比較的同一の目的でITを運用している業界はあまりない。自治体間の情報共有やノウハウを交換することで、業界として高いセキュリティを実現し、他の業界に手本を示せるポテンシャルがあると私は考えている。



バックナンバーへ戻るspacer新風トップへ