« アトリウム社の利益相反取引と取締役の法的責任 | トップページ | IFRS(国際財務報告基準)の適用と「一般に公正妥当と認められる企業会計の基準」 »

2009年1月 7日 (水)

情報処理推進機構(IPA)のクライシス・マネジメント

IPA(独立行政法人 情報処理推進機構)職員の方のPCソフトがウイルスに感染してしまい、16,000件に及ぶファイルが流出してしまったそうであります。第一報では詳細な内容は判明しておりませんでしたが、役員さん方による記者会見により、(当該職員の方が)ファイル交換ソフトを利用して児童わいせつ画像をダウンロードしておられたことが判明したようで、ファイル交換ソフトを入手していた動機は「やっぱりなぁ」と思われた方も多いのではないでしょうか。(詳細を報じるITメディアニュースはこちら)

個人や法人に対して、普段から情報セキュリティの重要性を広報されているIPAさんとしては、なんとも格好の悪い事態であります。顕在化したリスクとしては、「普段からウィニーに注意してください」と言いながら、自分の会社の職員がこんなことになってしまって、だらしがない・・・、といった倫理的な非難を浴びること・・・・・で済むのであれば御の字だと思います。私などはIT素人なものですから、倫理的なことよりも、そもそもここの職員さんがファイル交換ソフトを使うとしても、(どういった立場のお仕事だったかは存じ上げませんが)その「恐ろしさ」を十二分に知っているはずだから、かならず自衛策を講じているはず・・・、にもかかわらず簡単に流出騒ぎを起こしているということは、しょせん、組織的にも、たいした技術は持っていないのでは?と邪推してしまうことが第一印象であります。たとえばIPAのサイトでは、ファイル交換ソフトによる情報流出を防止するための技術的な対策がリリースされておりますが、私からすると、当該職員さんは、こういった対策を当然に講じていたにもかかわらず、PCをウイルス感染させてしまい、さらに感染していることに気付かずに情報を流出させてしまった(しかも流出していることすらわからない)と思います。ということは、推奨されている対策というものが何ら無意味なものではないか?と考えてしまうのであります。(これは全社的リスクだと思います)私のようなITオンチの一般人からこういった「邪推」をされてしまうところにもっとも大きなリスクがあるのではないでしょうか。

IPAとしては、再発防止策として「私物PCでファイル交換ソフトを使用することを禁止する」ということだそうですが、これは倫理的な非難のレベルのリスクには対応可能でありますが、「そもそもなにもわかっていない組織なのでは?」といった技術面での信用毀損のクライシスには対応していないものと思います。むしろ、IPA自らリリースされているような対策を必ず毎日チェックすることを規定化するとか、もう少し今回の職員さんのセキュリティチェックの状況を公表して、組織の技術的な対策が間違っていないことを広報するとか、そのあたりのマネジメントも必要ではないかと思いますが、いかがでしょうか。

|

« アトリウム社の利益相反取引と取締役の法的責任 | トップページ | IFRS(国際財務報告基準)の適用と「一般に公正妥当と認められる企業会計の基準」 »

コメント

Happy New Year!今年も楽しく読ませていただきます。よろしくお願いいたします。

IPAでそのような事件があったとは知りませんでした。
個人の不正は根絶できないというマネジメントの限界を示す一例のようにも見えますが、そのように割り切ってはならない点があると考えます。
先生ご指摘のように、組織的なセキュリティ対策に不備があったのではないかという点が大きいと考えます。組織柄、派生的な損失も大きいでしょう。もっとも、IPA自身は信用で売上を落とすといった財産的な損害はあまり生じないのでしょうから(個人情報部分の詫び金を除けば、単に恥ずかしいだけ)、しいて言えばセキュリティ対策にせっせと励んでいる者が受けるがっかり感、やれやれ感が社会的損失ですかね。

対策の不備について具体的に考えてみると、ワークスペースのプライベート化と、PCの私物的使用をなしうる環境が合わさると、本件のような事件が発生しやすくなるのだと最近思っています。
winny等に起因するセキュリティインシデントの例は飽きるほど聞きますが、当初は「通常ありえない」「個人不正は止められない」という印象を持っていました。雁首揃えた自分の職場環境からして為し得ない行為だったからです。
しかしあるとき、まるで個室のように壁が設けられ、家族の写真や置物が楽しそうに飾られている他社さんの職場を訪問してみて、これはインシデントの一因になりうるなあと感じました(見られていない、という心理的行為要因)。さらに、業務PCの私物的利用、遠隔監視(モニタリング)やアクセス制限が施されていないといった場合には、かなりリスクが高まると個人的には思います。業務PCはpublicなものだ、という意識を植え付ける必要があります。

IPAさんがどうだったかは知りませんが、開放的な職場環境では、winnyのダウンロードやわいせつ画像の閲覧などは実質的に不可能です(経験則)。

プライベートなワークスペースを導入する場合はもちろん、今後は雁首揃えた環境においても、今後はPCの公物化・無力化(シンクライアント化やスペックの超軽量化など)が必要なのではないかと考えています。

投稿: JFK | 2009年1月 7日 (水) 23時15分

明けましておめでとうございます。今年も宜しくお願いいたします。

私の知り合いに警察署の所長さんがいるのですが、なんと3回も自宅に泥棒に入られた後で、ようやく自宅に対泥棒対策を施したという話を聞きました。「紺屋の白袴」という訳ではないのでしょうが、仕事でならともかくプライベートになってしまうとまた違ってくるようです。

特にシステム系の職種の場合、技術力や能力にどうしても個人差が出やすいですし、システムにも分野があるので(弁護士さんでも商事系や民事系というように分野が分かれているようなものです)、そういう団体にいるからシステム全般に強い!という訳にもいかないです。むしろ生半可な知識がある人の方が「これくらいは平気」と油断してミスしてしまうんではないか・・・と思ってしまいます。

会社法でいう内部統制も、結局そういった油断から綻びが生じていくのかなあと思います。日常的に「これくらいいいだろう」が続くと取り返しがつかないことになってしまうのでしょうね。

投稿: m.n | 2009年1月 8日 (木) 00時51分

今年もどうぞよろしくお願いいたします。

さて、そもそもこの組織はそういうソフトがPCにインストール
出来ないような処置をどうして取らなかったんですかねえ。
監視ソフトをいれておけばこんなことにはならなかったのでは
ないでしょうか。職員のモラルに任せていたということなら、
対策を取っていたとはいえないと思うのですが…

投稿: 機野 | 2009年1月 8日 (木) 02時02分

いつも先生のブログは拝見しております。今年も楽しみにしております。

私も素人的な考えにすぎませんが、そもそも私物PCにファイル交換ソフトの使用を禁止する、というのは組織の規則として越権行為になって無効になるのではないでしょうか?会社の情報の持ち帰りを禁止するといった規則ならばわかるのですが、情報管理さえしっかりしていればそもそもこういた私物PCをどう使おうが問題はないはずでは。こういった規則をもうけること自体が、社員の社内情報の管理がずさんであることを公表しているようなものに感じます。

投稿: nakanishi | 2009年1月 8日 (木) 11時31分

IPAさん同様のルールが当社にもあります。
むしろ、当社では私物PCを業務に供すること自体が禁止です。
仕事はすべて会社支給端末でしなければなりません。
例外として自分のノートPCを使うこともできますが、合理的な理由がある場合に限定され、会社に申請が必要で、管理タグが付けられ、いろんなセキュリティツールを(強制的に)インストールされます。
(私も素人ですが、これが原則だと思っていてあまり違和感ありません。)

例外的に私物PCの業務利用が許されているケースを前提にすると、
私物PCへの規制が合理性を持つ現実的根拠は次の点にあると考えます。
①LANに接続する場合、他のPCにウィルス感染し得る。
②LANに接続しない場合でも、業務ファイルの漏えいを防止しなければならない。(業務利用禁止が原則ならば、例外的に許容する場合にも一定の規制が妥当)
③万が一、盗難や置き忘れがあっても助かるように、指紋認証や暗号化ツールが必要。

実際のところ、どこまでの規制が妥当なんでしょうかね。

投稿: JFK | 2009年1月 8日 (木) 21時04分

JFKさん、機野さん、MNさん、nakanishiさん、今年もよろしくお願いいたします。またnakanishiさんのご質問にご回答いただき、ありがとうございます。>JFKさん(ちょっとこのあたりは私の理解を超えているところです(^^;)

私が所属しているある研究会で、某都銀の方が「家族と普通に暮らしているときは何億という札束をみても「物」にしか見えませんが、借金問題などで尋常な生活が送れない状況になると、突然それが「マネー」に見えてくるんですよ」と説明されていたのが興味深かったです。(もちろん、その方自身のことではなく、監査の現場でのヒアリングからの経験だそうですが)
公使の区別を普通につける習慣・・・というのも、研修や訓練で向上できるものなのかもしれませんね。
MNさんのご指摘、まさにそのとおりでして、いくら情報セキュリティを啓蒙する企業の職員といっても、どういった職種の方なのかがわからなかったので、「あくまでも素人の印象」としてエントリさせていただきました。ご了承ください。

投稿: toshi | 2009年1月 9日 (金) 02時39分

DMORIです。
本年もよろしくお願いします。

IPAさんは、SQLインジェクション攻撃を受けている形跡があるかを検知する、「iLog Scanner」というツールを開発して、無料で提供していますし、技術力もしっかりした機関といえます。

ファイル交換ソフトが、大麻のように法律で禁止されたものでない以上、自宅の個人PCにファイル交換ソフトを導入するなというのは、個人の自由の侵害になり、無理と思います。
なお、警視庁や自衛隊は、自宅PCでも禁止という規定にして、各人から誓約書も提出させています。国民の安全に寄与する公務員なら、ある程度個人の自由を規制することもあっていいかとは思います。
※ただ、それでも誓約書に反してWinnyを使っていて、情報漏えいしている不届き者もいるのが現実です。

この事故を見て思うことは、どのように規制を強くしても、100%の万全はないということを、誰もが意識することが大切ということです。

私も自宅PCでファイル交換ソフトなど絶対に使いませんが、自宅のPCで会社の原稿を書くことはあります。
会社のデータを持ち帰ることはしなくても、まっさらなWord画面に会社の原稿を書き始めたとたん、それは「会社の情報」になりうるのです。
それはPCに限りません。紙の手帳を通勤途中で落っことしても、仕事のメモやアドレスページがありますから、「情報流出」になってしまいます。
だからといって、手帳に仕事の情報を書くな、手帳も持ち帰るな、などといった規制は、到底ばかげた話です。

規制を強くすることはいくらでも可能で、それによってリスクを小さくすることはできますが、仕事の利便性が低くなるだけです。
近年、ことなかれ主義でひたすらセキュリティのルールを厳しくしている企業が多い傾向にありますが、こんなに生産性を落として、この大不況の情勢を切り抜けられるのか、という思いです。

データセンターでもない限り、セキュリティは業務の利便性とバランスをとったレベルでよいのです。
あとは「自分もきょう当事者になる危険を持っている」との自覚を忘れないことが、最善の方策と思います。

投稿: DMORI | 2009年1月 9日 (金) 15時39分

業務にまったく使用しないPCに規制をかけるのは勿論問題でしょうね。
法的にも、おそらく自由権を持ち出すまでもなく労働法上会社の権限外のように思います、たぶん。

なるほど、バランスを踏まえたセキュリティ、効率性や生産性への影響などについて、DMORIさんのコメントから新しい視点を得ることができました。

ただ、バランス思考は適度にすべきと思います。

各企業が情報セキュリティについて厳格に対処せざるを得ない理由は、「個人情報」が含まれることにあると思います。単に自社の機密が漏れるだけなら、ある程度バランスの効いたルールでかまわないと思います。しかし、こと個人情報となりますと、その漏えいは多くの個人(たいていはお客さま)の権利侵害となり、ひいては信用を毀損することになります。また、PCを介した漏えいは、極めて強い爆発力・波及力(転々流通)・治癒不能性があります。これらゆえ、たとえうっかりであっても漏えいは許されない、という態度で会社運営に臨むべきです。

したがって、バランスは重要だとしても、セキュリティに関するルールについては、ルール一般よりは厳しめのバランス感覚で対処すべきです。たとえば、「物理的に漏れない仕掛け」を追い求めることには十分合理性があります。
自動車会社が「物理的に交通事故を防ぐ仕組み」を追い求めているのも、被害者だけでなく運転者を守ることにもなるからです。

忘れてならないのは、セキュリティルールは漏えいの「爆発力・波及力・治癒不能」から労働者を守るという重要な機能を有するということです。このようなリスクを負ってまで自宅のPCで仕事をする必要はありません。ルールが厳しいことが労働者の身を守ることもあります。
かえって、あいまいなルールは労働者をリスクにさらします。会社が、原則禁止で会社指定のセキュリティ対策を施す限り例外的に業務使用を許可する、という明確な態度なら、むしろ安心して自宅で仕事ができます。
(あくまでPCへの規制の話です。手帳やメモとなるとバランスが難しいですね。しかし、私の手帳なら、汚い字で暗号化しているので落としても安心です(笑)。)

投稿: JFK | 2009年1月11日 (日) 01時00分

DMORIさん、JFKさん、詳細なコメントありがとうございました。脊髄反射的にエントリーにしたもので、あまり補足コメントを付加することができず申し訳ございません。たいへん勉強になりました。(しかし、これほどコメントがつくものとは予想もしておりませんでした・・いろいろな方がご覧になっておられるのを再認識いたします)

投稿: toshi | 2009年1月13日 (火) 02時17分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: 情報処理推進機構(IPA)のクライシス・マネジメント:

« アトリウム社の利益相反取引と取締役の法的責任 | トップページ | IFRS(国際財務報告基準)の適用と「一般に公正妥当と認められる企業会計の基準」 »