 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
経験者が語る情報漏えい対策の問題点 |
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
|
||||||||||||||
木村氏は1999年に京都府宇治市で発生した住民基本台帳データ流出事件当時、市の情報管理課長の立場にあり、当事者として事件への対処や再発防止に取り組んだ。その経験をふまえて現在の情報セキュリティ対策に数々の疑問を投げかけている。 まず木村氏は「情報主体が理解し納得できる対策をとらなければならない」点を指摘した。情報漏えい事件が発生した場合の被害者は、あくまで情報主体、つまり宇治市の事件でいえば市民、企業では顧客となる。情報セキュリティの目的は「データ保護ではなくプライバシーの保護」だという。「情報セキュリティの強化においても情報主体の権利を保障しなければならない」(木村氏)。 また木村氏は、セキュリティを強化すればその分だけ利便性がなくなるというトレードオフの関係を挙げ、現状では情報保有者側が利便性向上のために情報管理のシステム化を進めているが、情報主体側はその利便性を享受しておらず危険性だけを負っていると指摘。情報主体側はシステム化の利便性と危険性を認知し、可能な限りにおいての「情報提供をすべきかどうか」の判断ができるよう「賢くならなければならない」と述べた。一方で保有者側は、情報と管理方法に全責任を負わなければならないと、木村氏は強調した。 さらに情報セキュリティマネジメントシステム(ISMS)認証の取得についても触れ「情報主体が知りたいのは、企業や行政の努力や熱意などではなく、本当に安全なのかという点だけ」と述べ、セキュリティ強化よりも他社や顧客らの信頼確保のために取得を急ぐ企業や行政の姿勢を批判した。 「情報流出はセキュリティの貧困さから起こるのではなく、攻撃者側の要因で発生する」と木村氏。そのため、流出が発生した場合、“○○の管理がずさんだったから”と結果解釈しても防止策はみつからない、攻撃者側の目から見ての可能性を探り再発防止策を考えなければならないという。 ではどのような対策をとればいいのか。木村氏は「無限の脅威を有限の脅威へ転換する」ことが大前提だという。つまり情報が流出する可能性のある個所を特定し、物理的・技術的なセキュリティ手段を用いて漏えいを「できなくする」べきだという。 システムの中で流出個所として最も考えられるのがクライアントPCだ。そこでPCがつながるネットワークと、PC自体に対するセキュリティ対策が重要となるというのが木村氏の主張だ。例えばCD-RやUSBメモリなど媒体への書き込み制限、そしてパーソナルファイアウォールソフトを利用したネットワーク経由での流出防止などが挙げられる。 シマンテックの「Symantec Client Security」に搭載されているパーソナルファイアウォール機能は、外部からの悪意あるデータの侵入を防ぐと同時に、未知のアプリケーションによるネットワークアクセスを制御し、外部と内部両方の不正な通信を防ぐことができる。シマンテックは宇治市役所が内部からの不正アクセス対策としてClient Securityを採用したことを同日に発表した。 ■ URL 株式会社シマンテック http://www.symantec.co.jp/ プレスリリース http://www.symantec.com/region/jp/news/year04/041215.html ■ 関連記事 ・ シマンテック、地方公共団体向けのセキュリティソリューションを強化(2004/09/28) ・ シマンテック、「インストールしただけでSasserを防ぐ」クライアントセキュリティソフト(2004/05/11) ・ 牧野弁護士「人間系のセキュリティ対策が重要」(2003/10/23)
( 朝夷 剛士 )
|
