新野淳一の戦略

  • 新野淳一
    新野淳一 (「Publickey」 Blogger in Chief)

    企業は「個人情報を紛失したが暗号化しているので大丈夫です」といえるか?

    本当にその情報を持ち歩く必要があるのか?

     できるだけ個人情報を集めない、持ち歩かない、というのが私自身が心がけているセキュリティ対策です。それから、ネットバンクへのアクセスは自宅の有線LANでつながっているPCからのみ、3台使っているPCのアンチウイルスソフトはすべて別のものにする、なんてこともしています。

     似たようなことは企業のセキュリティ対策にもいえるのではないかと思います。本当に営業担当は顧客情報の詰まったPCを持ち歩く必要があるのか?プレゼンだけできればいいのではないか?管理職は重要情報の詰まったUSBメモリを自宅に持ち帰る必要があるのか?自宅からリモートで利用できればいいのではないか?などと考えれば、いろいろな対策が考えられるでしょう。

     それでも、例えばメールクライアントに蓄積されたメールの情報や、営業が営業用のプレゼンテーションに書き込んだ顧客向けの見積もりなど、漏洩するのは困るけれど、持ち歩いて参照できたほうがずっと便利な情報があるのは事実。私のようなフリーランスでも、メールの情報などは外出先でも参照できれば便利です。しかし、やはりそれが漏洩すれば自分だけではなく相手にも迷惑をかけることですから、できれば持ち歩きたくない。

    暗号化が効く部分、効かない部分

     結局、私自身は割り切ってメールはGmailをメインに使うことにして、メールの情報を持ち歩くことはしなくなりました。ネットにつながらないと参照できませんが、それほど困りません。

     一方で、重要なデータを持ち歩く場合には暗号化という手段がありますが、その効果については意見が分かれると思います。これは、暗号化そのものの実効性がないというわけではありません。

     企業にとって、たとえ暗号化した情報であってもそれを紛失した場合、「重要な情報を紛失した」という事実には変わりありません。もしその中に個人情報が含まれていた場合、紛失したという事実については外部に公表しなければならないかもしれない、というプレッシャーを受けます。

     多くの企業にとって「個人情報を紛失しました、ただし暗号化しているので大丈夫です」という発表は、結局は自社の不名誉を発表せざるをえないという点では避けたいもの。

     というわけで、紛失しても発表する必要はないけれども自社の重要情報が漏洩するのは困る、という情報は暗号化して持ち歩いてもいい。けれども、暗号化しているしていないに関わらず、紛失したら発表せざるを得ないような重要情報、特に個人情報などはやはり持ち歩かせない、といったような、セキュリティに関しての何段階かのルールを使い分けるのがいいのではないかと思います。

    新野淳一(「Publickey」 Blogger in Chief)

    月刊誌の編集、フリーランスを経て、2000年に(株)アットマーク・アイティの設立に参加。2008年に@IT発行人を退任し、現在はPublickey編集長/Blogger in Chief。

各賢人の意見はこれだ!
  • 後藤康成
    後藤康成 (フィードパス株式会社 取締役 CTO)

    セキュリティはルール、人、テクノロジで対策を

     セキュリティ対策といえば、暗号化技術を応用したシステムやファイアウォールなどのテクノロジに対しての投資を想像しがちであるが、単純にテクノロジ製品だけに投資し頼るのは危険である。僕らフィードパスではこの点に十分留意して...(続きを読む)

  • 吉田 実央
    吉田実央(けろ-みお) (株式会社アロウズテクノロジーズ)

    BitLockerで解決できる課題、できない課題

     セキュリティ対策の基本は、「ヒューマンミス」による管理ミスを無くす体制を作ることが最も重要だと考えています。情報漏洩問題が発生しているほとんどの要因は、人によって引き起こされている...(続きを読む)

  • 小山安博
    新井悠 (株式会社ラック サイバーリスク総合研究所 所長)

    忘年会シーズンのセキュリティ対策

      子供が大きくなり、移動に時間がかかるようになったため(一緒に歩いていると彼はすぐに道草をするんです……)、子供乗せタイプの電動自転車を購入しました。一緒に購入したのはそう、子供用のヘルメットです。このように、家庭の父親や母親は我が子のこととなると事故を想定して一生懸命なのに...(続きを読む)

  • 横山哲也
    横山哲也 (グローバルナレッジネットワーク株式会社 取締役技術担当)

    添付ファイルのパスワード、どうやって伝えていますか?

     Windowsのファイル暗号化技術には、EFS(暗号化ファイルシステム)、AD RMS(Active Directory Rights Management Services)、BitLockerドライブ暗号化(BDE)、BitLocker To Goの4種類がある。しかし、残念ながら筆者はどれも日常的には使っていない。

     BDEはPCの盗難や紛失リスクに対して極めて有効なソリューションを...(続きを読む)

  • 海上忍
    海上忍 (フリーランス ITジャーナリスト)

    個人情報を含むデータをどう管理するか

     私にとって大切な保護すべきデータは、これまでに書き貯めた原稿と顧客関連情報の2種類に大別できます。前者は立派な財産ですし、うっかり流出させると信頼を失う後者も重要です。これらのデータは、日に数回行う自動バックアップにより、慎重に保管しています。

     しかし、それは仕事場での話。外出する機会...(続きを読む)

  • 小山安博
    小山安博 (フリーランスライター)

    携帯電話のパスワードは4文字という事実

     フリーランスでライターの仕事をしていると、「致命的」な情報漏洩につながるようなデータは多くはない。もちろん、交換した名刺のデータ、メール、公開前の商品情報といった、個人情報や機密情報はあるので、きちんとした管理は必要だ。

     まず怖いのはマルウェア。基本的なセキュリティ対策...(続きを読む)

  • 新野淳一
    新野淳一 (「Publickey」 Blogger in Chief)

    企業は「個人情報を紛失したが暗号化しているので大丈夫です」といえるか?

     できるだけ個人情報を集めない、持ち歩かない、というのが私自身が心がけているセキュリティ対策です。それから、ネットバンクへのアクセスは自宅の有線LANでつながっているPCからのみ、3台使っているPCのアンチウイルスソフトはすべて別のものにする、なんてこともしています。

     似たようなことは企業のセキュリティ対策にもいえる...(続きを読む)

  • 野田陽介
    野田陽介 (株式会社ジャフコ)

    投資会社ジャフコの厳秘情報はどのように守られているか?

     ジャフコでは、USBメモリなどの外付けストレージは原則読み取りのみ。加えてメモリに書き込みの際は全て暗号化しています。PCへのソフトインストールおよびウェブメールのアクセスも原則禁止です。また、社内から社外向けメールの添付ファイルに関しては、全て自動で暗号化を実施しています。厳秘情報を扱う頻度が高いため...(続きを読む)

  • 河端善博
    河端善博 (有限会社コザック 代表取締役社長)

    情報の「量」を適切に管理すること

     まず、情報やデータを増やさないようにしています。たとえば、顧客から預かる情報は、必要な情報のみに限定し、適切に破棄しています。また、ファイルのコピーを減らし、作業するコンピュータとサーバにのみ保存するように...(続きを読む)

  • 甲元宏明
    甲元宏明 (株式会社アイ・ティ・アール)

    “根性”によるセキュリティ対策からの脱却

     セキュリティ対策には大きく分けて、人系とテクノロジ系があります。人系とは、人の行動、セキュリティポリシーなどの社内ルール、などのこと...(続きを読む)

読者の意見をご紹介

こちらでは、読者から寄せられた意見をピックアップして紹介します。

  • キタ
    キタさん
    【業種】ソフトウェア開発・情報処理
    【職種】IT関連:エンジニア・プログラマー

    PCはワイヤーで固定し、HDDは暗号化している。持ち運び可能な媒体は暗号化ファイルを記録しノートPCと同じく移動の際も肌身離さず携帯するようにしている。

  • 野良
    野良さん
    【業種】ソフトウェア開発・情報処理
    【職種】IT関連:エンジニア・プログラマー

    >これらの経験から今後、企業に求められる情報漏洩対策としては、定めたルールを「自動化」できるような対応を実施していく必要があると考えております。

    細かい部分への意見となりますが、IT業界では、ここ数年少々偏屈的ともいえるぐらいに、情報漏えい対策のシステム化が進んでいると思います。
    ただ、どちらかというと極端に偏屈的に自動化したため、人のほうが慣れてくる面もあると思います。必ず出る確認ダイアログも一日に十数回、年に何千回も見ていると、そのうちの何回かは何も考えずに反射的に「OK」をクリックしてしまう状況がでてくると思います。
    確かにUSBの自動暗号や、許可されたUSBしかPCが認識しないなど本当の意味での完全な自動化は成功すると思います。
    しかし、自動化の過程に人が介在する場合は面倒になりおざなりになるとそこがリスク発生点となってしまうと思います。

    >「ルール決め」「人(従業員)」「テクノロジ」

    確かに正論なのですが、やっぱり「人」がネックとなってきます。どんなに教育を施して、意識付けができたとしても日常業務における面倒な点はついつい”今回ぐらい”はという油断を生む温床となります。

    以上、まとまりがありませんが完璧な自動化によるセキュリティ保護が達成できない現状では、インシデント発生リスクは絶えず存在していることを技術の普及と共に合わせて、リスクの存在も普及していくべきなのかなと思いました。

バックナンバー一覧

各分野の賢人と、読者の意見が集う6つのテーマ一覧をぜひご覧ください。

» バックナンバー一覧

http://japan.zdnet.com/extra/windows7_panel_200912/story/0,3800102051,20405702,00.htm
【識者に聞く】あなたが実践しているセキュリティ対策は?
企画・制作 朝日インタラクティブ株式会社 営業部