• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ITpro Security

徹底的に手間を省力化する“手抜き”ポリシー作成術(4)――個人情報は最優先で保護

園田道夫 2004/11/30 ITpro

悪事を働きやすい情報

 個人情報というものもある。社員やスタッフの個人情報,顧客の個人情報などである。  保護のレベルで言えば,特にスタッフの個人情報などはほとんど公開も同然というくらい,きわめて軽い扱いの場合が多いだろう。年賀状のあて先,などと言いつつ住所録を回していたりすることも多いだろう。

 さすがに個人顧客の情報については,スタッフのものほど軽くは扱わない。しかし,後を絶たない漏洩事例を見ると,アクセス制御や手順についてしっかり考えていないところは,まだ多いように思える。

 個人情報は,実は利用価値が高い。名簿屋に売れるし,売るときもそれほどリスクを負わないで済む。名簿屋はそこらじゅうに存在し,匿名での売買も可能,かつ管理が甘い。ハードルが低く,それなりにカネになるということでは,最もコスト・パフォーマンスの高いデータなのではないだろうか。

 さらに,あまり考えたくないことだが,犯罪行為を助長する可能性も実はけっこう高い。可愛いあの子,気になるあの人のメールを簡単にのぞけるとなったら,ついふらっとやってしまう人が出てくるのではないだろうか。実際に,ある企業でメールIDとパスワードの一覧を全員に配った事例もあるようだ。

 さらに,ストーカ系には個人情報は絶好のネタである。なにしろ特別な努力をせずに,住所と電話番号が入手できるのだ。また,セクシャル・ハラスメント行為に利用される恐れもある。

 企業や組織の抱える情報には,もう一つ重要なものがある。それは不祥事やスキャンダル,経営危機の情報などである。実はこの手の情報こそが,最もその組織にダメージを与えるものであり,株価にも大きな影響を及ぼし,犯罪的行為も助長しやすいものではないだろうか。

 もちろん,そもそも不祥事やスキャンダル,経営危機を発生させないことが重要だ。しかし,残念ながら皆無ということはまずあり得ない。そして,こういう情報は守りが堅そうに見えるが,ハードルはさほど高くないことも多い。匿名掲示板や匿名メールなどで,この種の情報は数多く流出している。売り物にもしやすいし,売らなくても掲示板に書き込むだけで,評判を落とすことができる。

個人情報は最優先で保護すべき

 こうしてざっと眺めてみると,

  • 研究開発情報
  • ビジネスや活動のコア情報
  • 経営系データ
  • 個人情報
  • 不祥事,スキャンダル,経営危機関連情報
などが,情報資産としては重要ということになる(不祥事を資産と称するのか,というツッコミはあるだろうが...)。

 このうち,「研究開発情報」は価値に相応しい扱いを受けていると言えるだろう。「ビジネスや活動のコア情報」はちょっと微妙だが,まあ大切に管理されているはずだ。「経営系データ」もまあきちんと管理されている方だろうが,関与するメンバー(経営陣)はうっかりするとITの扱いに長けていないことがあるので,その分リスクは高くなる。

 「不祥事,スキャンダル,経営危機関連情報」は,根本から防ぐのが一番のはずだ。ただ,そうは言っても経営危機に陥ることはあるし,スキャンダルが発生することもある。しかし,この手の情報はセキュリティを云々するよりはむしろ,危機管理すべき問題だろう。

 問題は「個人情報」である。個人情報の扱いがきわめて軽い場合が,いまだに多い。結果として,それこそスキャンダルや,ひどいときには犯罪にまで至ってしまうことも少なくない。というのに,相変わらず公開情報のように扱われていたりする。それでいて悪用するものにとって利用価値があることは明白だ。

 弱い部分を補強するということから言えば,組織内に抱える個人情報こそが最優先で保護されるべきではないだろうか。もちろん,それ以前に研究開発情報がその価値に相応しい扱いを受けていない,という場合は別だ。しかし,一定の年月に耐えてきた組織で,中核情報をずさんな扱いしていていまだに何も起こっていないことはないだろう。

園田 道夫 Michio Sonoda

筆者は情報処理推進機構(IPA)の脆弱性分析ラボ研究員,および日本ネットワークセキュリティ協会(JNSA)の研究員を務める。JNSAではハニーポットワーキンググループ,セキュリティスタジアム企画運営ワーキンググループのリーダーとして活動している。MicrosoftのSecurity MVP。現在セキュリティ夜話(http://www.asahi-net.or.jp/~vp5m-snd/sec/),極楽せきゅあ日記(http://d.hatena.ne.jp/sonodam/)にて連続的に読み物掲載中。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る