仕事熱心だと,何が危ないのか。まずは以下の質問に回答してほしい。

【質問1】自宅に仕事を持ち帰ることがある。
【質問2】外回りの合間もインターネット・カフェなどを活用して仕事をしている。
【質問3】ノート・パソコンのデータを共有して,部内で共同作業をしている。
【質問4】使いやすいソフトを自分で探してくるなど,効率化に努めている。
【質問5】出先でメールを確認するため,同僚に自分のメールを見てもらっている。

 いくつYESがあっただろうか。一つでもあった人は,“注意”が必要だ。仕事熱心なのはいいが,これらの行為はすべて,企業情報の漏洩やシステム障害につながりかねない。実際この質問は,取材先などで起きた情報漏洩問題をベースに作っている。社員や関係者による想定外の行動やうっかりミスがもとで,情報漏洩やシステム障害などが発生するケースが増えつつあるのだ。

 本人に悪気はなくても,社員一人ひとりの日常的な行為のなかに,企業のセキュリティを脅かす要因が潜んでいる。むしろ,仕事熱心で,業務に追われている人ほど危ない。重要な情報を扱う機会が多いが,忙しさからセキュリティに対する意識がつい甘くなってしまうからだ。不注意だろうがうっかりミスだろうが,いったん情報が漏れたりすれば,企業に深刻な影響を及ぼしてしまう。

 では,質問にあるような仕事熱心な社員の行為はどのような問題につながるのか。一つずつ解説しよう。

意外と多いノート・パソコンの紛失

 最近,取材の際に「御社では社員がノート・パソコンを紛失した経験がありますか?」と尋ねるようにしている。まだ十数社だが,今のところ「YES」率は100%である。ノート・パソコンの小型化や記憶メディアの大容量化によって,大量の情報を社外に持ち出すケースが増えた。自分では「たいしたことない」と思っても,社外の人にとっては大きな価値を持っているデータも入っている。

 質問1の「自宅に仕事を持ち帰ることがある」人の場合,ノート・パソコンや記憶メディアにデータを入れて持ち帰っていると非常に危険だ。警視庁発表の「東京の犯罪(平成14年中)」によると,車上荒らしや置き引きの件数が,6年間で1.7倍にも増えている。万引きやすりといった他の窃盗の手口と比べても,この伸びは大きい。昨年末に起きた福島県岩代町の住民情報データ盗難事件も,手口は車上荒らしだった。データ保管を委託された業者の担当者が,岩代町役場から渡されたデータを車に置いたまま別の事務所に立ち寄ったところ,車上荒らしに遭ってしまった。

 情報の持ち出しは,ノート・パソコンやメディアを使ったものだけではない。三菱重工業では昨年,社員が自宅作業をするために自分宛てに送った電子メールに添付した次期戦闘機に関するデータが社外へ流出してしまった。家で仕事をしようなどと思わない不熱心な社員であれば,情報漏洩は起きなかったかもしれない。

外は危険がいっぱい

 グループウエアなどの社内システムに,インターネット経由でアクセスできるようにしている企業は多いが,もし「外回りの合間もインターネット・カフェなどを活用して仕事をしている」社員がいたら,気を付けなければならない。SSL[用語解説] などを使って通信を暗号化して盗聴を防いだり,ローカル・キャッシュにデータが残らないようにシステムを組んでいるから大丈夫と言う人がいるかもしれないが,それだけでは情報漏洩は防げない。

 今年3月6日,他人に成りすましてインターネット経由で銀行から1600万円を不正に引き出した容疑者が逮捕された。インターネット・カフェのパソコンに仕掛けた,キーボードの入力情報を取得・記録するキーロガーと呼ばれるスパイウエアを使ってIDとパスワードを盗んだのである(関連記事)。キーボードの入力情報を取得・記録するので通信を暗号化しても意味をなさない。同じようにして社内システムにアクセスするためのIDとパスワードが盗まれても不思議ではない。

 無線LANアクセス・サービスの利用も危険である。「ノート・パソコンのデータを共有して部内で共同作業をしている」人がその設定のままで無線LANアクセス・サービスを利用すると,情報漏洩やウイルス感染の危険がある。実際,昨年10月23~25日に宮崎県シーガイアで開催されたIBMシステム・ユーザーの勉強会「第13回iSUC(アイザック)」で“事件”は起きている。

 iSUCに参加したあるユーザーは,デスクトップ上のネットワーク コンピュータを開いて驚いた。「ファイル共有の設定をしている人のパソコンのフォルダが一覧で見えた。かなりの数で,しかもコンピュータ名に社名を含めていたり,フォルダに,なかのデータが何なのか想像できる名前をつけたりしているものもあった」という。加えて,そのiSUCでは,パソコンの共有フォルダをターゲットにして攻撃するワームが無線LANアクセス・サービス経由で広がったのである。

業務効率化に潜むセキュリティ・ホール

 もはや,常識になっているかと思いきや,意外といなくならないのが,アンチウイルス・ソフトの設定を間違っている社員である。質問4にYESと答えた「使いやすいソフトを自分で探してくるなど,効率化に努めている」方は,気付かないうちにアンチウイルス・ソフトの起動を止めたり,定義ファイルを自動更新するための設定を変えていたりする可能性がある。

 日本データ通信協会は,アンチウイルス・ソフトの設定ミスが原因で組織の信用失墜を招いてしまった。システム担当者がパソコンの処理速度を上げるためにやった行為が,同協会のサイトにアクセスしてきた一般ユーザーがワームに感染するという事態(関連記事)につながったのである(詳細については,日経コンピュータ6月30日号の「動かないコンピュータ」を参照してほしい)。

 質問5の「出先でメールを確認するため,同僚に自分のメールを見てもらっている」に関しては,筆者も人のことを言えない。メールではないが,ある社内システムを操作してもらったことがあるからだ。念のため言っておくと,その後パスワードは変更した。情報漏洩で一番恐いのは,内部の犯罪者である。筆者の場合は悪用された形跡はないが,あるSIベンダーの製品企画担当者は,「うっかりパスワードを教えてしまった社員が,自分の電子メールを勝手に見ていたことがあった」という。

 “つい”やってしまいがちな行為で,情報漏洩など,企業の情報システムを脅かす原因は他にもたくさんある。“うっかり”やってしまっても情報漏洩などにつながりにくいようにシステム的に防ぐことも大切だが,やはり最も重要なのは,個々人のセキュリティ意識の向上だ。筆者は,意識向上につながるような情報を提供していきたいと考えている。ぜひ,「こんなものも危ない」という行為があれば,お寄せいただきたい。

(鈴木 孝知=日経コンピュータ)