Winny問題について
相変わらずWinnyによる情報漏洩のニュースが止まらない。
生保にNTT、国会議員に警察に陸自に海自、市役所に学校と、もはや何が出ても驚かない状況だ。
「実は、Winnyは情報管理の杜撰な組織を告発するための正義のソフトなのでは?」などと茶化されてすらいる現状である。
マイクロソフトや内閣官房からも対策ページが出ているが、問題は多くの人が「Winnyさえ使わなければ大丈夫」と早合点してしまうことだろう。
実際、Winnyに関する情報漏洩は、以下のパターンを「全て」満たさないと起こらない。
(1) Windowsを使っている
(2) Winnyを使っている
(3) ウィルス対策が不十分(もしくは何もしていない)
(4) セキュリティ対策が不十分(もしくは何もしていない)
(5) Winnyを使って怪しげなファイルを開き、Antinnyウィルスに感染した
(6) 会社/組織から重要な情報を持ち出した
(7) 重要な情報をWinnyが入っているPCに入れた
ここで「(2)Winnyを使っている」の条件が欠けたとしても、それ以下の条件を満たしていれば(2)に変わる脅威なんていくらでもある。
他のファイル交換ソフトしかり、メール添付型のウィルスしかり、Webアクセスでの不正プログラム実行しかり。
もちろん「(1) Windowsを使っている」についても、他のOSなら現状リスクが低いというだけで安心という訳ではない。
言うまでもなくもっとも問題なのは「(6) 会社/組織から重要な情報を持ち出した」であるが、これも一概に本人だけを責められない部分はある。
仕事は増える一方だが残業は抑制され、止む無く自宅に仕事を持ち帰ったというケースが一番多いのではなかろうか?
組織として情報持ち出しに厳密なルールはあっても「本音と建前」で有名無実化しているのであれば意味は無い。実情に合わせてどうやって現実的なルールを作るかが肝要だが、もっとも困難な部分でもある。
最後に改めてWinny自体の問題に立ち返るが、高木浩光氏がブログで興味深い方法を述べている。
http://takagi-hiromitsu.jp/diary/20060302.html
「Winnyの使用が無くならないなら、せめて安全なWinnyの使い方だけでも伝えていくべき」という考え方は確かに現実的だ。
■特集Winny問題(日経IT Pro)
http://itpro.nikkeibp.co.jp/winny/
■Winnyによる情報漏えいを防止するために(IPA:情報処理推進機構)
http://www.ipa.go.jp/security/topics/20060310_winny.html
■ファイル共有ソフトによる情報の流出について(2006/3/15 マイクロソフト)
http://www.microsoft.com/japan/athome/security/online/p2pdisclose.mspx
■Winnyを介して感染するコンピュータウイルスによる情報流出対策について(2006/3/15 内閣官房)
http://www.bits.go.jp/press/inf_msrk.html