少し前のニュースになりますが、日本銀行の情報漏えい事件に関する記事がありました。
まじめな彼はなぜ情報を持ち出した? 日銀事件に学ぶこと ITmediaエンタープライズ 2008年5月2日
この記事は、3月22日に公表された日本銀行松江支店からの情報漏えい事件についてものです。3月22日ってあれですね、日銀総裁が不在なときですね。
日本銀行松江支店における内部情報流出について 日本銀行松江支店 2008年3月22日
この事件に関して、4月15日に日本銀行から内部調査の結果が公表されています。
日本銀行松江支店における内部情報流出に関する内部調査結果について(PDF) 日本銀行 2008年4月15日
この調査結果ですが、調査結果、対応、反省点、再発防止策と他の事件の調査結果報告と比べて内容が充実したものとなっています。今回はこの調査結果報告を元に、有効な情報漏洩対策を再考してみたいと思います。
・事件の概要
まず、今回の事件の経緯を確認しましょう。
【序章】
とある日本銀行松江支店職員は、ほぼ毎営業日、職務関連資料をフロッピーディスクや紙ベースで、自宅に持ち帰っていました。これは仕事が忙しいからではなく、資料の完成度を高めたかったからだそうです。いますよね、そんな仕事熱心な方。しかし、もちろん内部ルール的にはNG行為です。この職員もルールは知っていましたが、知っていただけなのです。そして、持ち帰ったデータ資料は個人のPCに入れておきました。
この個人PCにはCabos、Winny、そしてその亜種がインストールされていました。さらに、このPCにはウイルス対策ソフトが導入されていたのですが、2005年10月にサポート期限切れになっているもので、しかもパターンファイルは2001年11月のものでした。そして、このPCはいつのまにか暴露ウイルスに感染していたのです・・・。
【第1章 事件発覚】
3月21日午前10時頃、日本銀行松江支店にインターネット上に松江支店のものと思われる資料が掲載されている旨の連絡が匿名で入りました。そして、これらの資料が松江支店の職務関連資料であることが確認されたのです。よくあるパターンですね。
結局漏洩が確認されたデータは34ファイルで、容量は約3メガバイトだそうです。フロッピーでこつこつ持ち出したんでしょうね。内容としては金融機関の過去の決算分析に関するものと、日本銀行が金融機関に委嘱している国庫国債事務の事務検査に関するものの2種類だそうです。かなり漏洩してはいけないものな気がしますが・・・。
【第2章 その後】
こうなりました。(以下抜粋)
(行為者)
松江支店 担当者 停職1ヶ月、自主退職
(管理・監督者)
松江支店長 戒告、給与自主返上10%(1ヶ月)
前松江支店長 戒告、給与自主返上10%(1ヶ月)
松江支店次長 戒告
前松江支店次長 戒告
松江支店総務課長 戒告
松江支店業務課長 戒告
・問題点と対策
この調査報告書の中にも反省点、再発防止策についての記載があります。(以下抜粋)
3.反省すべき点
(1)職員の規範意識が十分ではなかった点
(2)情報流出を生じさせないための執務環境の
(3)上司が部下の内部ルール違反を認識してい
4.再発防止策
(1)情報の厳格な取扱いの再徹底
(2)情報流出を生じさせない執務環境の整備
(3)内部におけるチェック体制の強化
さて、ここからが私の考えです。
1.教育を徹底しよう!について
4の(1)は職員への教育を強化しましょうという話なのですが、今回の事件を犯した職員もルールは知っている上でそれを破っているわけです。気の知れた数人のグループなら別ですが、大きな組織になればなるほど色々な人がいます。これまで教育を全くしていない場合を除いて、教育というのは情報漏洩の有効な対策にはなりえないと私は考えます。
2.持ち出さなくても良い環境にしよう!について
3の(2)に持ち出さなくても良い環境とありますが、今回事件を起こした職員は残業するほど忙しくなかったけれど、持ち出したわけです。つまり、人は情報を持ち出す必要がなくても持ち出すものです。少なくともそういう人はいます。したがって、今回はこの対策はあまり意味がないと思われます。ただし、この対策は忙しくて仕事を持ち帰らすを得ない環境では、有効な対策かもしれません。ただ、この場合は情報漏洩とは別の問題な気もしますが。
3.システム的に持ち出せなくしよう!について
3の(2)と4の(2)に記載がありますが、システム的に持ち出せなくすることは非常に有効だと思います。ファイルを暗号化して持ち出すと読めないようにしたり、外部記憶媒体を使えなくしてしまう、操作ログを取って違反行為に対して通知を行う(通知を行うことが重要です)等の対策は教育と組み合わせると非常に有効です。あとメール対策も必要ですね。添付ファイルを送ると上司にメールが行くとかが良いのではないでしょうか。
日本人の場合は操作ログを取っておき、違反行為をした場合に警告を出したりすると、もう違反行為をやらなくなるそうです。だからガチガチにシステムで固めなくても、ある程度のシステム的な情報漏洩対策を行えばよいのではないでしょうか。しかし、中国人の場合は抜け道がないか色々と試すので困る、とどこかで聞いたか読んだかしたことがあります。国民性でしょうか?まあ、人によりますよね。私の知り合いはそんな感じではないですし。
4.管理職に管理させよう!について
3の(3)と4の(3)に管理職の職員の管理を徹底という話が出てきますが、私はこれは無理だと思います。まあ、管理業務専任の管理職が職員3人に付き1人ぐらいいるのであれば別ですが(もしかしたら日銀はそうなのかもしれませんが)、普通管理職は職員が業務時間中に何をしているのかを全て把握してるなんてことはないと思います。
5.個人PCの定期点検について
これもどこまでやる意味があるのかな?と思います。結局これも自己申告に過ぎないわけですから。日銀は違いますが、家で仕事するのは認める(もしくは致し方ない)、ただし、仕事に利用するPCはウイルス対策ソフトを導入し、ファイル交換ソフトも使うな、という企業があるようです。確かに、ウイルス対策ソフトの導入は家庭でも必要ですし、ファイル交換ソフトも利用しないほうが賢明だと思います。しかし、このようなルール作るのであれば、家で仕事用の企業で管理するPCを用意すべきではないか、と思ったりします。
・まとめ
非常に長くなってしまいましたが、今回のポイントは1つだけです。情報漏洩対策は教育やルールの策定といった人的なものだけでは限界があります。もちろん、システム的に~だけでもあまり有効ではありません。人+システムの2つの対策を組み合わせることにより、有効な情報漏洩対策を行うことができるのではないでしょうか。まあ、情報セキュリティ対策はバランス良くということは、よく言われていることではありますけどね。
0 件のコメント:
コメントを投稿