「Winny(ウィニー)経由の情報流出が相次いでいるために,業務データの持ち出しを禁止する企業が増えている。だが,それだけでは不十分。以前に持ち出されたデータが流出する危険性は残っている。企業は“過去にさかのぼった対策”を施すべきだ」---。ネットエージェントの代表取締役社長である杉浦隆幸氏は3月23日,ITproの取材に対して,情報流出の危険性やその対策などについて解説した。
ネットエージェントでは,Winnyのトラフィックを遮断するための企業向け製品やソリューションを2004年2月から提供している(関連記事)。2005年12月には,Winny経由の情報流出を調査するサービスも開始(関連記事)。2006年3月からは,“Winnyウイルス(Antinny)”に感染しているかどうかをチェックする無償ツールも公開している(関連記事)。
頻発している情報流出事故の多くでは,社外/組織外へ持ち出した業務データが,Winnyウイルスに感染した私有パソコンから流出している。このため,企業や組織の多くは,業務データの持ち出し禁止を徹底し始めた。このこと自体は,情報流出対策として有効であり,重要である。
しかしながら,これだけでは不十分であると杉浦氏は指摘する。「以前に持ち出されて現在も私有パソコンに保存している業務データが,Winnyウイルスなどによって今後流出する可能性がある」(杉浦氏)ためだ。
情報流出を防ぐには,今後の持ち出しを禁止するだけではなく,過去に持ち出された業務データを回収する必要があるという。持ち出されたデータを収めたメディア(ハードディスクやDVDなど)を提出させることで,今後の流出を確実に防げる。加えて,「どのようなデータが持ち出し可能だったのか」を把握でき,情報流出対策に役立てられるだろう。
ただし,単に「持ってくるように」と命令しても,提出する社員はほとんどいないだろう。社員がデータを提出しやすい仕組みづくりが不可欠だ。「重要なことは,以前から持ち出しを禁止していたとしても,データを提出した社員は不問にすること。逆に,『よく提出してくれた』として,提出したメディアを大容量のメディアと交換するような対応が望ましい」(杉浦氏)
「業務データが私有パソコンに保存されている限り,情報流出の危険性はなくならない。データを提出しやすい“仕組み”さえ作れば,それほどコストをかけずに危険性を低減できる。企業や組織では,ぜひ実践してほしい」(杉浦氏)
