今もなお深刻なP2Pによる情報漏えい
P2Pによる情報漏えいは、「Winny」に関連したウイルス(暴露ウイルスとも呼ばれています)により、爆発的に広まりました。今まで数多くの機密情報・個人情報が、国や教育機関・数々の有名企業から漏えいしてしまい、今も有名どころの漏えい時には大きく世間を騒がし続けています。他のP2Pでも、データをアップロードするフォルダ(マイドキュメント等)に会社情報が含まれていた為、意図せず情報漏えいにつながってしまったケースも存在します。
P2Pの使用はほとんどの組織で、社内・自宅共に使用禁止のルールを定めていますが、自宅のPCに関しては管理が行き届かず、自主性に任せざるを得ないのが現状です。
ちなみに電子データによる情報漏えいの媒体・経路で、常に上位を占めているのは、インターネット及びUSB等の可搬記録媒体です。2008年におけるインターネット経由による情報漏えいの件数は約340件であり、そのうちP2Pによるものは40%と高い割合を占めています(NPO日本ネットワークセキュリティ協会「情報セキュリティインシデントに関する調査報告書」より)。
また、P2Pによる情報漏えいが生じた際の経路・状況は、「私物であるPCからの漏えいがほぼ半分(46.2%)」を占めています。他は「業務委託先からの漏えい(38.5%)」、「退職した職員・以前委託していた業者から漏えい(30.8%)」等です(警視庁「平成21年3月 不正アクセス行為対策等の実態調査 調査報告書」より)。
漏えいする原因のひとつは、会社のデータを自宅に持ち帰ることが可能、あるいは持ち帰らざるを得ない環境にあるのは間違いありません。しかし、そこでデータの持ち出しを制限することに注力するのは、前回の執筆「第4回 USBメモリからの情報漏えい対策」でも述べたように、会社にとって非効率であり、不利益をもたらす場合があります。
P2Pユーザーがダウンロードを行うファイルは、著作権的に違法性の高いものが大半を占めています。今年の1月より改正著作権法が施行され、著作権侵害などコンテンツの違法性を認識しているダウンロード行為が違法となりました。しかし現時点で罰則規定がなく、それだけでのP2P使用抑制は大きく期待できるものではないと感じています。
万が一でも個人が会社の大切な情報を漏えいさせてしまっては、個人のキャリアはもちろん、会社に深刻なダメージを与えますので、いかに社員の自宅PCとはいえど、会社はなんらかの有効な対策を講じる必要があるのではないでしょうか。今回はP2Pの使用をいかに抑制させるかをテーマにして、考えていきます。
社員が使っていなければ安心か
P2Pの危険性を認識し、当人も使用をするつもりがない社員であれば、それで安全といえますか。ずばり言うと、本人の知らない所で家族がP2Pを使用しているかも知れません。ところが、個人の力でPCにP2Pが導入されているか否かを判断するのは、相当高いスキルが必要となる作業です。
実際に家族がP2Pを使用したことで、PCに保存されていた会社のデータが情報漏えいしてしまった話があります。その人はキャリアも失い、家族も離散してしまったそうです(このお話に興味がある方は、「Winny利用の果て」でWeb検索してください)。会社は社員が使用していないことを確認して安心するだけではなく、社員が気づかないうちにPCにP2Pが入っている危険性まで考えた上で、PCの検査を行うべきだと思います。
PCの検査はどのように行うのか
P2Pの検出は既存の専用ソフトウェアで行うわけですが、いくつか種類が存在します。いずれも検査対象PC上で実行する必要があります。ソフトが常駐して常にP2Pの起動を監視するものもあり、さらに監視ソフトの起動状況を、インターネットを介して専用サーバで一元管理できるものも存在します。
ただしあまり多機能なものを選択すると、検査に関する費用(ソフトウェアライセンス・一元管理するサーバの運用保守費等)が膨大となる場合が多く、社員の個人PC検査にそこまで費用を割くのは割に合いません。
完全なP2Pの使用抑制を実現することに固執するのではなく、例えば3~4ヶ月に1回、あるいは半年に1回程度の間隔でPCの検査を行ってはどうでしょうか。一定期間で検査し続けることで、会社のP2P排除に対する姿勢が社員に伝わり、使用が抑制され、さらに社員が気づかないP2Pの検出・削除を定期的に行うことが実現できます。
それであればソフトの機能も常駐型ではなく、一度ダブルクリックして実行して結果をサーバに送った後、削除をする程度のもので十分です。ソフトウェアの入手は、Web経由で所定のID・パスワードで認証して入手できるものにすれば、会社から各自宅に配信する手間もなくなります。
会社が社員の自宅PCを検査する上での注意
私もそうですが、自宅のPCを会社の都合で検査するといわれると、非常に抵抗感があります。ある意味プライベートな空間に会社が入り込む訳です。だからこそ、検査を行う前に以下の事項を確実に伝えておきましょう。
(1) 検査はP2Pによる情報漏えいの危険性を低減することで、社員を守り会社を守るために協力してもらうものであることを認識してもらう。
(2) PCから取得する情報を明確に明示する。(IP・MACアドレス・OS名・検出されたP2P名等)
(3) P2Pが検出された場合、削除は行ってもらうが会社からペナルティーを与えない。
社員にとっては、自分のPCからどんな情報を抜き出されるのか、非常に心配を持たれる方もいると思います。プライバシーの侵害になるような情報(保存されている画像・動画ファイルの中身等)は取得しない旨を、はっきりと伝える必要があります。
また、この検査はP2Pを使用している社員を見つけるのが目的ではなく、P2Pの駆除と捉えるべきです。必ずしも当人が使用しているとは限らないわけですし、P2Pが発見し削除ができれば、会社にとってのリスクが低減し、検査の意義があるので、それでよしとしましょう。(同じ人が検査のたびにP2Pが検出されるのであれば、問題ですが・・・)
検査を行う社員に対するサポートの準備
自宅にPCを持っている人が、PCに精通しているのは、もう何十年も昔の話となってしまいました。PCが普通の家電レベルで普及している現在では、社員の中でもPCに詳しくない方が少なくないでしょう。それらの人が特定のサイトにアクセスし、ID・パスワードを入力。検査用ソフトウェアをダウンロードして実行するのは、想像以上に難度が高い作業です。
社員が自宅で検査を行うのは、仕事が終わって帰宅した夜か休日になるケースが多いと思います、検査をスムーズに行うためにも、検査手順(PCの操作を含む)や、P2Pの削除要領に関する問い合わせ等を行えるオペレータの配置は、対応時間帯も考慮した上で、社内部署や外部委託を前提で検討しておくべきだと思います。
自宅PCから会社の業務データを削除
少なくとも自宅のPCに会社の業務データが保存され続けている状況は、好ましいことではありません。P2Pやウイルスによるものから外部記録媒体でのデータの持ち出し等、さまざまな要因で情報漏えいする危険性をはらんでいます。
PCに対して、業務に関連しそうな特定のキーワード(人事・秘・会社名・資料・・・等)を含んだファイルを検索し、不要なものの削除を促す検査も、P2P検査と同時に行えばよりリスクの低減がはかれますので、お勧めです。
*
今回は情報漏えい対策を行う対象先が自宅PCという、対策を講じるのが難しいテーマでした。P2Pの存在は会社にとって非常にリスクの高いものであることは、皮肉にも多くの情報漏えい事案が証明しています。
現在は、通称「ガンブラー」と呼ばれる脅威が、猛威を振るい続けています。ある日突然その亜種が、PC上のP2Pの設定を書き換えて、デスクトップやマイドキュメント等をアップロードフォルダにしてしまう機能を持ち合わせたらどうなりますでしょうか。
私は十分想定できる脅威だと思います。気づいたときには、もうデータは流出した後です。今まで対策だと思っていたことが無策になった時には、後の祭りです。「ガンブラー」に対する確実な対策は現在のところ確認されていないので、前述の想定した脅威を考えると、よりP2Pの使用は抑制していかなければならないと思います。
