Winny情報漏洩対策、わたしはこう考える〜SCAN調査結果へのコメントから(2)

【トレンドマイクロ社黒木直樹氏ほか】

2006年3月と4月にSCANが実施した、ユーザと管理者に対するWinnyの実態調査結果をもとに、SCAN編集部では、調査結果に対するコメントという形で、日本のセキュリティ業界で活躍し、指導的な立場にいらっしゃる多数の識者の方から、Winny情報漏洩対策に関する指針となる寄稿をいただきましたので掲載します。

●調査結果PDFのダウンロード
http://www.ns-research.jp/cgi-bin/ct/p.cgi?wny01_ssw
●調査結果URL
ビジネスユーザのWinny等のP2Pファイル共有／交換ソフト利用状況調査
https://www.netsecurity.ne.jp/3_6308.html
企業セキュリティ管理者「Winny被害は今後無くなる」の回答ゼロ
https://www.netsecurity.ne.jp/3_6428.html
────

Winny等の利用禁止対策、セキュリティポリシーの策定／周知のみでは、Winny等による情報流出を予防するには不十分。運用管理の徹底、ポリシーをシステムで補完できるソリューションの導入が必須だ。

調査結果を見ると、業務用のPCで未だ3割程度の人がWinnyを使用している。また、3割弱はアンチウイルスソフトを導入していないか、もしくは正しく運用していないとの結果から、今後暫くWinnyを媒介とする情報漏洩が収拾することはないであろう。

一方、企業のWinny対策の現状はと言えば、Winny等の利用禁止措置を取っている企業は、この調査で見る限りかなり高い割合を占める。しかし、内訳を見てみると、社内、業務用パソコンに限定しての禁止が7割強である。

今一度思い出していただきたいのは、昨今世間を騒がせた個人・顧客情報流失事件には、社員が業務データを自宅に持ち帰り、Winnyをインストールした個人PCにそのデータをコピーした為に発生したケースも多々あったという点である。つまり、個人PCでのWinny等の利用までも禁止しないにせよ、“業務データの持ち出し”というところまで踏み込んだ上での措置を講じない限り、Winny等の利用禁止対策のみではあまり意味をなさないのである。

さらに、約半数の企業で、最も有効な予防対策としてあげるのは「セキュリティポリシーに基づく社内管理の確立と徹底」であるとの結果が出ている。

社内規定の策定およびその遵守や、社員教育による社員のリスク意識の向上を促進することは、情報漏えい対策のアプローチとして非常に重要である。しかし、各種メディアでWinnyを媒介とした情報漏洩が毎週のように報道されており、いくつかの暴露型掲示板／ホームページにも、未確認の情報も含めて連日新しい情報漏洩が報告されている。また最近では、Winny以外のP2Pソフトを媒介とする同様な情報漏洩事件も発生している。

したがって、もはやセキュリティポリシーの策定／周知のみでは、増え続ける情報漏洩を食い止めることは難しい。

加えて必要なのは、それをシステムで補完するための効果的なセキュアコンテンツマネージメントソリューションの導入である。そのなかでもまずネットワーク対応型のクライアントウイルス／スパイウェア対策の正しい導入、そしてその運用管理等の徹底。次にセキュリティポリシーをシステムで適用(enforce)するソリューションの導入が不可欠であると思われる。

トレンドマイクロ株式会社
上級セキュリティエキスパート
黒木直樹
http://www.trendmicro.co.jp/
────

●調査結果PDFのダウンロード
http://www.ns-research.jp/cgi-bin/ct/p.cgi?wny01_ssw
●調査結果URL
ビジネスユーザのWinny等のP2Pファイル共有／交換ソフト利用状況調査
https://www.netsecurity.ne.jp/3_6308.html
企業セキュリティ管理者「Winny被害は今後無くなる」の回答ゼロ
https://www.netsecurity.ne.jp/3_6428.html

──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec