国内セキュリティ団体からのメールアドレス情報が流出

呉井嬢次(Johji Kurei) 2006-03-17 14:41:00

 NPO日本ネットワークセキュリティ協会は3月16、セミナー参加者全員にセミナー参加者のメールアドレスを誤配信したことを公表した。詳しい経緯は、同協会のホームページを参考にして頂きたい。このようなトラブルに対する説明文を読んで残念に思うことがある。具体的な再発防止策を提供しない点だ。その問題点そして企業が実際に選択している具体的なセキュリティ対策を紹介する。

トラブル発生組織の防止策が最高のセキュリティ対策だ

 ホームページには、次のように書いてある。
 「今後このこのような不備が二度と起こらないように、是正・予防策を講じ、継続的に個人情報保護に取り組みます」

 どのように対策を講じるのだろうか。引き続き、今後の対応についてホームページで説明する内容は書かれていない。トラブルのお詫びに限定されおり、今後セミナーを開催する企業、学校に対して注意を喚起することにはつながらない。どのような対策を講じたのか、情報流出の再発防止を提供することは、同団体の設立の趣旨である「叡知を集め」、「諸問題を解決していく場」に相応しい。

レピュテーションリスクへのセキュリティ防止策が大切

 流出したメールアドレスの本人にとっては災難だが、ミスを起こしたNPOを非難するだけでは問題は解決しない。同じ事を繰り返せば、組織の信頼、評判が低下していく。海外では、こうした信頼、評判の低下に伴うリスクを「レピュテーションリスク」と呼ぶ。金銭的に算出することが難しく、元の状態に戻すにも時間がかかる特徴がある。企業では、見込み顧客を失うビジネス機会の損失、既存顧客の離反につながるのでレピュテーションリスクは、事業継続の点からも重要視されている。メールアドレスの誤配信は、これまでも多くの企業で発生しており、今後も発生する可能性が大きく、レピュテーションリスクにあたる。今回のケースを操作ミス(オペレーション・ミス)で片付けられやすいが、しっかり対策する必要だ。情報セキュリティの仕事を通して経験した、具体的な防止策を説明する。

企業で選択される具体的な流出防止策

対策1) 電子メール送信前に内容を複数の人間がチェックする
 オペレーションミスを防ぐには、本人が十分注意しても気づかず、ミスを起こすことが多い。このため、2名以上で送信する内容をチェックする体制を組織として構築することが行われている。ある機関では、送信した内容に対して、誰が送信したのか、誰がチェックしたのか一覧表に記入するようにしている。

対策2) 送信するマシン、送信者を限定する
 全員にパソコンが貸与されることが当たり前になって、誰でも電子メールを送受信することができる。しかし、あるコンピューターメーカーでは、社外にメールを送信するには機種を限定しており、部署で仕事する者が誰でも送信できるルールにはなっていない。送信希望者は、送信できるマシンにデータを移動し、改めて送信手続きを行う。面倒に思える手間が操作ミスを防ぐのである。

対策3) 送信できるマシンの設置場所を考慮する
 メールを送信できるマシンが、新入社員の席の上にある場合と、部長の机の横にある場合とでは、どちらがミスを少なくできるだろうか。後者の方が、操作ミスが少ない。これを応用して、部署の責任者の横にマシンを設置している。では部長がミスをした場合はどうするんだ?そんな疑問が持つかもしれない。もし部長がミスしたら、その場合は、社長にお仕事をしてもらえばよい。(余談だが、では社長がミスしたら? 社長はセミナー参加者に配信する仕事をしてはいけない。)

対策4) メールシステムを改良して多重チェックを実現する
 配信する前に、送信許可者による承認機構をメールシステムに組み込む企業がある。メールシステムにオープンソースを採用していれば、経路制御させて、ソースを書き換えれば済む。

 他にも色々な方法が企業では採択している。少なくとも、具体的なセキュリティー対策を紹介すれば、他の組織で類似した事故を防止することは可能だ。

最後に

 警察庁が平成17年のインターネット治安情勢を解説した情報技術解析平成17年報が公表されている。過去にどのようなトラブルが発生しているのか、その対策を検討する上で役立つと思う。URLを紹介するので、一読しては如何だろうか。

NPO日本ネットワークセキュリティ協会
http://www.jnsa.org/

情報技術解析平成17年報
http://www.cyberpolice.go.jp/detect/pdf/H17_nenpo.pdf

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR