2010年11月15日月曜日

尖閣映像流出問題の陰で・・・

尖閣映像流出問題は、徐々にニュースの時間や新聞の紙面から少なくなってきましたが、ほぼ同時期に、警視庁の情報流出事件が発生しています。
警視庁:テロ捜査資料流出

国際テロ捜査の資料ということで、日本人以外の個人情報も大量に流出しているようです。
そしてその情報は、共有ソフト上で拡散しています。
テロ資料流出:ネット転載でさらに拡散

共有ソフトといえばウィニーが有名ですが、それ以外の「シェア」や「パーフェクトダーク」でも拡散しています。
過去いくつかの記事でも書きましたが、
『一度ネットに流出した情報は全部を取り戻すのは不可能』
です。特に今回のような情報は、国内外の「悪いことを考えている人」にはたまらない情報でしょう。
判明している状況をみると、犯人(?)は結果をわかってやっていると思われるので、軽い気持ちで流したものではないでしょう。

この事件との直接的な関連性はないものの、警視庁では、11月に入ってから、
・国内過激派に関する資料のDVDの所在不明
・私物PCでの共有ソフト使用発覚
ということも明らかになっています。

このような状況だと、やはり庁内の管理方針が末端までいきわたっていないと思わざるを得ないですね。既に当該部署では始めていると思いますが、動機や目的、そして経緯が明らかになるに従って、今までの情報セキュリティ体制についての見直しがされることでしょう。


大きな組織では専門部署などで、方針や細かい管理方法などが定義されていると思いますが、それを全員にいきわたらせること、全員が遵守すること、それらがいかに難しいことか、事件が発生する度に感じます。

反対に小さな組織は、方針や細かい管理方法を定義すること自体がどうしても後回しになってしまうと思います。

どちらにしても、「故意に」持ち出すことに関しては、「個人個人の意識」を向上させるしか手がありません。最低でも年に1回の情報セキュリティのトレーニングは必要ですが、それで十分であるとは思わず、このような事件があった時に、部署ごと、グループ毎でもいいので、自分達の環境に置き換えて話しあってみることも必要なのではないでしょうか。

2010年11月8日月曜日

機密情報の管理

先週後半のニュースは、尖閣衝突の動画流出事件一色でした。
新聞も各社、一面から社会面まで紙面を割いていたので、みなさんもご存知のことと思います。

まだ詳細は判明していませんが、現時点で報道されている内容を信じるならば、国家組織の情報管理の甘さに驚きを隠せません。

-ネットに接続していないパソコンに保存をしていた
これは必要なことで、この措置によりウィルス感染やハッカーなどによる流出は防ぐことができます。
しかし、そのパソコンのデータを「誰でも」取り出すことが可能だった、「私物の」USBも使用可能だった・・・

衝突事件から1ヶ月以上経過後に海上保安庁は映像の管理責任者を決定、管理体制を強化した
といいます。それまでの間、幾人もの人間がそのデータを取得することができたのです。

そもそも事件から1ヶ月以上経ってから、管理責任者を決定するとか「私物のUSB」が使用可能であったこと自体、情報セキュリティ管理の甘さを感じます。

これ以外にも大量にあるデータの管理は大丈夫なのかしら・・・???

まだ犯人は判明していませんが、いずれ判明することでしょう。
しかし、流出した映像データは、もう、削除することは不可能です。
それがインターネットの怖いところです。

経営者のみなさん、他人事ではありません。

どんなにシステムを強化しても、システムでは人間の故意・悪意による流出・漏洩を防ぐことはできません。それを少なくするためには、個人の意識向上しかありません。

自分達が持っている情報がどういうものなのか、それらが流出・漏洩した場合にどのようなダメージがあるのかを正しく理解すること。
そして、道徳観、倫理観の教育も必要なんだと思います(悲しいことですが・・・)。

情報セキュリティに関する社内教育は最低でも年1回は必要です。
このように大きな問題となっている時がいいチャンスです!