|
2004年6月24日
『性悪説に立った個人情報保護システムが必要になるのでしょうか?』
最近の個人情報の流出事件を見るたびに、社会的信用のある大企業でも、内部関係者のセキュリティ管理はいい加減であるということがよくわかります。
今までのセキュリティ対策はどちらかと言えば、インターネットなどの外部からの攻撃に対処するにはどうしたら良いかという防御対策が主体でした。
ところが最近の事件を見るたびに、対策を 180 度転換せざる終えないように思えます。
セキュリティ対策の思想として、性善説と性悪説とがあります。原則をどちらにするのかによってその対策方法が全然変わります。
従来は、インターネットなどの外部の世界に悪い人達が多いので、社内ネットワークを守るため性悪説に従って、外部からの通信を一切遮断し、必要なものだけを通すという立場でした。
社内から社外への通信は、社内の人達は皆な善い人という立場に従って、あまり監視制御しないことがあります。特に中小企業になればなるほど、ネットワーク管理者のいない小さい会社ほど、内から外への通信は何も制御していないことでしょう。
社長とケンカをして、翌月に会社を辞めると覚悟を決めたら、会社の様々な情報をメールや Web のアップロード機能を使って、外部に持ち出そうと考える人も出てくるでしょう。
Winny を使っていた人がウィルスに感染して、自分のPCの内容をばら撒かれた事件はつい最近のことです。
法律上、このような行為は処罰の対象になります。ですが、通信記録を取っていなければ、誰が何時そのような情報を持ち出したのかを後から監査することすらできません。
もちろん監査手段があれば、そのような行為は行われないはずです。ですがそれでも起こりうるのが、監査されていない CD-R や DVD-R に焼いて持ち出すといった行為になるわけです。
最近はメディアに焼くのが面倒なので、USB メモリに直接コピーする事件が多発しているはずです。
個人情報保護を徹底すればするほど、使いにくいコンピュータや社内ネットワークになっていくと思います。これだけ個人情報流出事件が多発する世の中になると、時代の流れは、社内全体が性悪説になったと仮定した保護対策や監査手段の構築が求められていくでしょう。
攻撃者が仕掛けるキーボードロガーと同等品を、各社員が使う PC に組み込んで、1日の業務内容を後から分析するような製品も出てくるのでしょうか? ロガーソフトを使わず、PS/2 ケーブルや USB ケーブルの途中に介在させるハードウェアもあります。
万が一の情報流出リスクにおける損害費用を考えると、このような対策を取っていく会社が増えてくると思います。
|
