発電所からの情報漏えい対策の甘さ

呉井嬢次(Johji Kurei) 2005-08-31 15:11:00

脆弱なWinnyは今後もウイルスに狙われ続ける

 ファイル共有ソフトで知られているWinnyの利用者は多い。これまでのファイル共有ソフトウエアと比べ、ファイルの交換に暗号化が施されており、セキュリティ対策が施されているように思われている。ところが、脆弱性を抱えていることを知っている人は少ない。今回の事件は、この脆弱箇所を攻撃するコンピューターウイルスが活動し、パソコン上に格納されていた検査情報が所有者の許可なく外部に持ち出されて問題となった。脆弱性を持つアプリケーションを使い続ける人がいる限り、情報漏えいトラブルは増え続ける。これは間違いない。どんなソフトを自分のパソコンにインストールするのは個人の勝手だが、経営者は、企業のパソコンに導入された場合、大きなダメージになりうる事を熟知しておくべきだ。

脆弱ソフトを攻撃するウイルスは比較的簡単に作成できる

 Winnyはソースコードも公開されていないし、パソコン間のデータ交換も暗号化されているので、ウイルスは登場してこないと思う人も多い。しかし、既存の脆弱性を攻撃するコードは多数インターネットに存在する。このようなツールと組み合わせることで脆弱ソフトを悪用するウイルスを作ることが可能だ。詳しい作り方は略すが、まず実行プログラムを解析するリバースエンジニアリングソフト、フォレンジックツールを使い、脆弱性がある機能を見つけ出す。次に脆弱箇所を攻撃するコードにファイル転送機能を搭載するプログラム、最後にある機能を搭載すれば完成である。

 企業のパソコンに業務上不要なソフトウエアをインストールしていれば、新たなウイルスに感染し、情報が漏洩する危険性がある。ちなみに、ウイルス対策ソフトウエアを導入しているから安心できない。なぜなら、利用者の権限で情報を漏洩させるソフトが、正規なアプリケーションなのか、悪意のあるソフトウエアの区別を正確に判断できないからだ。では、企業はどんな対策をとるべきだったのだろうか。

たった2つのセキュリティ対策で十分

 今回の事件によって、三菱重工は、2つのセキュリティ対策を実施していることを説明している。
三菱重工のプレスリリースから抜粋
 発電プラント等に関する検査関連情報流出について
http://www.mhi-ir.jp/sp_news/050830_winny/index.html

対策1:会社のパソコンにはWinny等の業務上不要なソフトは一切導入しない
対策2:個人のパソコンを会社業務に使用しない

 これだけ確実に徹底すれば、今回の事件は避けることができる。もし社内で2つの対策が定められていないなら、すぐに社内の情報セキュリティ規定の見直しを行うことをお勧めする。

もう一歩進めて、企業はホームページを活用すべし

 この2つの対策、実は情報セキュリティポリシー(情報セキュリティ指針)を定めている企業では当たり前の対策でもある。例えば、石川播磨重工業では、ホームページに情報セキュリティポリシー( http://www.ihi.co.jp/ihi/gaikyo/policy/security.html )を公開している。この中で、「情報セキュリティに関する規定」を定めることが書かれている。そこには、より詳しい内容が定められていることがわかる。

 ご存知の通り、ホームページは、取引先や株主はもちろん、将来の顧客に対しても有効な情報提供場所となっている。そして、ITトラブルが発生してからは、謝罪の場となっている。企業は恥を公開することで後ろ向きになっている。

 しかし、経営者は自ら企業が情報セキュリティについて取り組んでいることを前面にだすべきだろう。これまで、多くのセキュリティ業務に従事して、企業のホームページを最も閲覧しているのは、顧客、取引先、株主ではなく、実は社員であった。経営者が情報セキュリティに対する指針を表明することは、実は企業のセキュリティ向上に大いに役立つ。経営者は、セキュリティを確保するためにも、もっとホームページを活用すべきなのだ。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR