 経済産業省の 小紫正樹 情報システム厚生課長 |
「恥をさらすような話だが、いまだにウイルス感染メールを開く職員がいる」。マイクロソフト日本法人が3月8日に横浜で開催した「SECURITY SUMMIT 2004」で、経済産業省の小紫正樹 情報システム厚生課長が、経済産業省におけるセキュリティ対策の生々しい現場を語った。どんなに努力しても「100%完璧なセキュリティは不可能に近い」(同氏)というのが実状だという。
情報システム厚生課では、約7000台のクライアント・パソコンと約500台のサーバーを管理している。同氏は最近の事例として先週出現した新型ウイルスNetsky.Dを取り上げた。
同省では3月1日から2日にかけて6063件のウイルスを駆除した。感染メールが届きだしたのは1日の19時台後半。これに対し、ウイルス対策ソフトの更新ファイルが到着したのが22時頃。この空白の2時間で2000通以上の感染メールが入ってきた。こうした時差によるウイルスの流入は、年2回程度は起こるという。
その時間はまだ相当数の職員が残業していた。そこで同課はWebや電子メールで「メールの添付ファイルをクリックしないように」という緊急連絡を行った。しかし、「メールは見ていない職員の方が多い」(小紫氏)。感染メールが2000通入ってきて、数十人の職員がクリックしたという。同課ではクリックした職員をあとで調べ上げたが、「自分から(感染したようだと)言ってきてくれた人とくれなかった人がいた」(同氏)。なお、感染メールの発信防御をサーバーで行っているため、ウイルスは外部には出ていっていないはずだという。
ウイルス対策で生じる無防備な時間以外に、パッチ適用も100%完璧に行うのは難しいという。同課では、すべてのクライアント・パソコンのパッチ適用状況をスプレッド・シートで管理している。これによると、2月11日にマイクロソフトが公開したパッチが、先週の時点でまだすべてのクライアント・パソコンに当たっていなかった。例えば、ユーザーが長期出張していて電源が入っていなかったパソコンや研修のときだけ使用するパソコンなどだ。こうしたクライアントを含めた完璧な対策は不可能ではないが、現実には「ものすごい労力がかかる」(同氏)。システム部門の限られた人員だけでは限界がある。
セキュリティを強化するとユーザーの使い勝手が損なわれるという問題もある。経済産業省では、「20分間操作しないとスクリーン・ロックがかかる(復帰にはパスワードが必要)」、「ユーザーにCドライブのアクセス権を渡さない(ユーザーはソフトがインストールできない)」、「外部のパソコンをLANに接続するのを認めない」といったセキュリティ対策を実施している。こうした対策を導入した際には、省内から相当な反発があったという。
