最近、情報セキュリティについて思うこと、感じること、危惧すること、期待することがあり、そのことについて書こうと思います。
事の起こりは、11月8日の日本経済新聞朝刊でした・・・
そこには大きく、こんな記事が載っていました。
「コピーやFAX機能を持った複合機に外部から不正に進入され、内部の機密情報を閲覧されていたといった内容でした。しかも、それが日本を代表する最高学府や地方の国立大学で起こっていた」という内容でした。
この記事を見た瞬間、「とうとう、こんなことが起こり始めていたんだ!」と、実感を持って感じると同時に、これは氷山の一角に過ぎない。もっと他にも水面下で起こっているのではないか!何か、新しい次元へ情報セキュリティ対策は向かう必要がある!」と直感しました。
以前から、複合機の情報漏洩の危惧は聞いていましたし、当社でも複合機の情報流出を防止するセキュリティ・ソフトを販売していることからも、その危険性は承知していました。
が、しかし、この記事はそれ以上の衝撃でした・・・
「どうして複合機が、外部からの情報閲覧や情報流出の危険性に遭っていたか?」と本コラムを読んで疑問に思われる方も多いと思います。
まず、複合機にはメモリ機能や便利で簡単なソフトウェアがついていることはご存知だと思います。縮小拡大、PDF作成、印刷方法や綴じ方など何でもござれです。
この複合機は極端に言えば、「LANケーブルで繋がっている情報処理機器」なのです。
今の複合機は一枚幾らかの費用を複合機メーカに支払っていますが、その基本は使用した枚数カウンターです。しかし、誰も来社して昔のようにカウンター数など確認に来はしません。
つまり、外部から分かるようになっているのです。その外部と繋ぐ役割がLANケーブルです。
ここで、読者の皆さんにはよく考えて頂きたいことがあります。
LANケーブルや無線LANには何が繋がっているのか?
更に、その先は何に繋がっているのか?
更にその先はどこまで繋がっているか?・・・・
世界中のあらゆる情報と繋がっているのです!!
実に、恐ろしいとは思いませんか?
本当は楽しいことなのですが・・・
ハードやソフトで進入や漏洩に対して強固な障壁を作ろうとも、必ずそれを乗り越える目に見えない侵入者や、内部に不審者がいるのです。
一言で言えば、外部からの侵入者を遮断する、内部からの情報漏洩を防ぐ、そんな方法はないのです!
確かに、それらを簡単に見過ごすことを許さないハードウェアやソフトウェアもいろいろあります。
しかし、ウィルスというものが現れてから今まで、完全にウィルスを完全に封じ込め、絶滅させることが出来たかお考え下さい。
答えは 「NO!!」 です。
進入を防ぐことがその時には出来ても、次々に新種のウィルスが現れては、それに対応するウイルス対応が実施される「追いかけっこ」が実態なのです。
そのことが更に、事務処理機器のみならず監視カメラなども含め、情報処理機能を持つ各種機器と外部からの不正侵入や情報漏洩の危険に晒されている危険性があるのです。もうテレビだって例外ではありません。テレビジャックなど簡単にできるのではないでしょうか?・・・
問題が大きいので、やる人がいないだけだと思います。
更に、今まで有効な防御手段がなかった「内部からの情報漏洩や流出」も、今後、益々、問題が出てくることは避けようがありません。
何故ならば、内部からの情報流出こそ有効な防御手段が遅れているし、ハードウェアも少なければソフトウェアもしかり、それ以上に法整備すら進んでいないことも挙げられます。
先ほど例として挙げた複合機への不正侵入ですが、複合機メーカーからは初期設定されたパスワードの変更やファイアウォールの設定を薦めていますが、高度な進入技術を持つ侵入者からはさほど難しい「壁」ではありません。
しないよりマシなだけだと思います。
ファイアウォールなどは価格によって性能差もあり、根本的な対策とは言えなくなりつつあります。進入が難しいだけの話です。何百万もする高機能機など中小企業では購入はとても無理です。
便利さと危険性は常に隣合わせであり、その危険性から避けることは出来ません。
正に、原子力発電所と同じです。
平和利用に絶対はありません。だからと言って、その恩恵も費用対効果から考えると無視も出来ないのが現実です。
先ほども言いましたが、便利さは一度経験すると捨てることが出来ないのが人間です。しかし、少しでも危険性を減らすことは出来ます。
例えば、複合機の管理部門の変更です。
多くの企業や公共施設では、総務関係の部門が管理していると思いますが、もはや外部からの進入が起こる時代になった以上、専門家がいる情報システム部門や情報セキュリティ部門へ変更しなければなりません。
従来の外部からの不正進入の対策が「入口対策」であり、それについては今までにもいろいろと対策も行われていますが、完全に防ぐことなどは出来ません。
それどころか、なりすましなど犯人すらそのメールアドレスですら特定出来ないのです。他の中継場所を通過してやって来るので分からないのです。
これがネットワーク社会です。
更に、入口対策より大きな問題が「出口対策」です。
先ほども書きましたが、法整備も遅れていますし、具体的対策もなきに等しい状態で遅れて手いるのです。
人的モラルに依存しただけの情報流出対策だけでは、根本的な問題解決絵にはなりません。
現に、個人情報保護法など紙ベースの管理手法ではもう問題点が山積しています。費用は高いし、書類の山だし、土日は審査等もやってくれないし、既得権の固まりだし、正に時代遅れです。民間に委託して費用も利便性も図るべきです。
やらないよりやった方が抑止力になりますが、疑問に思っている中小企業が多いのが実情です。
取引先が求めるので仕方なくというのが実態だと思います。
出口対策は、このPマークよりも更に遅れているのです。
皆さんに知って貰いたいことは次の通りです。
1. 今は入口対策が中心だが、それ以上に今後は出口対策が重要になる。
2. 情報セキュリティにはお金がかかる。
3. 情報セキュリティに手抜きをすると企業が実害を受ける。
4. 出口対策では、人、もの、お金、情報の4要素が必要となる。
5. ハードメーカーやソフトメーカー単独で対応出来る情報化社会ではない。
6. 全く新しいアイデアや概念に基づくアーキテクチャが求められている。
7.ニュービジネスが起きる可能性が高くなっている。
当社は今後、情報セキュリティ分野も手掛けることを決めました!
どのように関わりあって行くか決まってはいませんが、単に、市場性があるとかではなく、それらと向き合わなければならなくなったと実感するからです。
利便性と危険性、この相反する性質こそ私達に与えられた使命の一つにあたるのではないでしょうか・・・・
Comments