「Winny」は、いまもまだセキュリティリスクの原因として、さまざまなトラブルを引き起こしている。社会問題として多くのメディアでも取り上げられ、誰もがITの脅威として意識するようになった。企業は、Winnyを含むP2Pソフトウェアの利用を禁止するなどの対策を施しているが、いまだに情報漏えいは続いている。こういったリスクを完全に防ぐには、いったいどうすればいいのだろうか。

個人の抑止力だけではセキュリティリスクは防げない

「抑止力」ではなく持ち出せない環境を

　企業は、IT統制を実現すべくセキュリティポリシーを定めているが、それを守るかどうかについては社員の抑止力だけに頼っているケースが多い。しかし、これでは万全の対策とは言えない。電子記憶媒体の接続禁止、持ち出し禁止などのセキュリティポリシーを定めても、社員がそのルールを守らない限り「絵に描いた餅」に過ぎないのだ。社員が情報を持ち出せる環境であること自体が、最も大きな問題なのだ。

　最近では、生命保険会社の入社希望者の個人情報や県立高校生の個人情報が「Winny」ネットワークに流出したという事件が報道された。生命保険会社の場合、パソコン利用ルール（セキュリティポリシー）には「電子記憶媒体の接続禁止」「持ち出し禁止」が明言されていた。にもかかわらず、情報を持ち出して漏えいさせてしまったのだ。

情報を持ち出した社員は、自宅の個人所有のパソコンでデータ編集作業を行っていた。情報漏えい事故がなければ、勤勉な社員という評価だったはずだ。情報漏えい事故は、本人に悪意がなくても発生し、会社の信用問題に発展してしまう。同社では、おわびと事情説明を開始しているほか、問い合わせ窓口も新たに設け対応に当たっている。

　情報を持ち出そうと思えば持ち出せる環境であったことが、この事件の最大の原因になったことは、疑いようのない事実だ。個人の抑止力に頼るのではなく、さらに強固なセキュリティ環境を構築する必要がある。

セキュリティと利便性を双方犠牲にしない対策

　社員の操作ログを取得するロギングツールは、内部統制や情報セキュリティには欠かせないソリューションの1つだ。万が一、セキュリティ事故が発生したときも、その原因を追及するための材料になる。また、操作ログ取得ツールは、情報漏えいの抑止力を高めるソリューションとして知られている。しかし、先述の通り、「抑止力」だけでは、情報漏えいを防ぐことはできない。WinnyなどのP2Pソフトウェアや、業務に関係のないソフトウェアの起動を制御したり、情報持ち出しの禁止に強制力を持たせる必要があるだろう。

　しかし、「禁止」に軸足をおくと、利便性を下げてしまい、生産性を低下させる危険もある。「セキュリティ」と「利便性」のバランスをとり、生産性を低下させることのない情報セキュリティの実現に取り組まなければならない。統制活動を通し、より安全で使いやすい企業システムを見つけよう。

[次のページ]