情報漏えいなどに対して
2007年06月04日 11:46
つい去年まで、"セキュリティ" と聞いて、まず思い浮かべるのが、Winny・ShareといったP2Pのファイル共有ソフトだ。今はあまり暴露ウィルスなどの被害のニュースは流れていないが、少なからずこれらのP2Pのせいで情報漏えいはしているだろう。大中小を問わず、パソコンを扱う企業ならば、なんらかのユーザへの警告や、対策をとっているところは少なくないだろう。
たまには、SEっぽい記事もありかなぁーと、いろいろ調べてみました。
MicrosoftのWebサイトでも、イラスト付きでWinnyの仕組みからわかりやすく説明【http://www.microsoft.com/japan/athome/security/online/p2pdisclose.mspx】しており、警告を促している。そういった、「情報漏洩」の対策として、ネットワークセキュリティをテーマとする「connect24th」の管理人濱本 常義 氏【http://mvp.support.microsoft.com/mvpInsider_2006-02】は大きく3つの切り口を述べていた。
---(以下はサイトから抜粋)---
(1)クライアントPCのセキュリティ対策
(2)許可されていない不正端末の検知と排除
(3)ネット経由の情報漏洩対策
---
注目すべきは、(3)のネット経由の情報漏洩だという。
最近では「ネット系サービス」が爆発的に増えている。それが企業にとってのリスクになっているのだ。
ここで述べる「ネット系サービス」とは
[A]「Yahoo!Messenger 【http://messenger.yahoo.co.jp/】」や「MSN Messenger 【http://get.live.com/messenger/overview】」などといったインスタントメッセンジャー
[B]インターネットを利用した音声通信できるVoIPソフト(Skype 【http://www.skype.com/intl/ja/helloagain.html】など)
[C]File bank【http://www.filebank.co.jp/】やWebファイルストレージや、「Gmail【http://mail.google.com/】」をなどのWEBメール
[D]「mixi 【http://mixi.jp/】」や「GREE 【http://gree.jp/】」といったSNS(ソーシャルネットワーキングサービス)
を表している。
そもそも、ネット経由での情報漏洩対策として企業で行われている一般的なことは
・メールとWebの全利用履歴の保存
・公開鍵暗号方式PGPなどのメールの暗号化
・ファイアウォールのパケットフィルタリング, アプリケーションゲートウェイ
それで、何故「ネット系サービス」がリスクとなるかについて、濱本 常義 氏の記事と共に考えてみたい。
[A]まず、インスタントメッセンジャーといったチャット機能。
手軽に利用できるし、外部とのメールでは送れない、大きなファイルの送受信には使っていないだろうか。
ここで危険視されることは、インスタントメッセンジャーで通信を行う際、内容が暗号化されていないということだ。
そして多くの企業内で、業務には関係のないインスタントメッセンジャーの利用禁止などの運用ポリシーが明確ではないということだ。手軽に簡単・・・と思って業務に使っていると、業務上の情報漏洩も考えらなくないだろう。
[B]P2P 音声通信サービスを提供しているSkype。
「世界中どこでも無料通話」を謳い、爆発的な普及を見せたSkype。これは標準で通信を暗号化しているが、昨年日本でこのSkypeに、一度に3種類の脆弱性が発見されている。日本ではあまり大きく言われていないが、海外ではSkypeの脆弱性は多く発見されている。
このSkypeからの情報漏洩や、外部からの進入路のリスクとして重要視されている。
[C][D]世間一般で流行しているこれらのサービス。
特徴として、企業内のメールを監視されていることの自衛策として使用することが多く、私的な情報交換の場となっていることが現状のようだ。
現在のWinnyに代表される除法漏洩の状況を考えると、リスクが顕在化してから対策を取ったのでは遅い。今後、どのようなリスクが大きくなるのかをあらかじめ予測し、対処していくことをお勧めしたい。
WEB2.0に囃されて、どんどん増えていくWEBサービスや情報手段。これらに対して、世間の流行速度と、企業・個人にとってのリスクを考え、対策していかなければ、これからの情報化社会は、企業はおろか、個人でも立場の辛い状況となるだろう。
[参考サイト]
・濱本 常義 氏 個人プロフィール http://mvp.support.microsoft.com/mvpInsider_2006-02[Microsoft]
・マイクロソフト セキュリティ ホーム http://www.microsoft.com/japan/security/default.mspx[Microsoft]
・5分で絶対に分かるファイアウォール http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin00.html[@IT]
・「企業のIT活用」 ガイド:水谷 哲也 http://allabout.co.jp/career/corporateit/closeup/CU20041128A/[All About]
・「Skype」に複数の脆弱性、リスクは「高」http://www.itmedia.co.jp/enterprise/articles/0510/25/news116.html[ITmedia]
・ Improper handling of URI http://www.skype.com/security/skype-sb-2006-001.html[SKYPE US]
・スカイプ ニュース http://hkspage.livedoor.biz/archives/50264312.html
コメント
■この記事へのコメント
はじめまして。
28歳の現在就職活動中の無職です。
じつは結構前から読ませていただいていました。
1年前に退職して、迷っていたときにこのブログを拝見
いたしました。最初は何気なくよんでおりましたが、妙に
よませて頂いてるうちに興味が湧き、PC専門の方に1年通い、
只今就職活動しています。
このブログがきっかけでIT業界に飛び込みます。
これからも応援しております!
Posted by RY | 2007年06月19日 15:03
---
> RY さん
どうも。
嬉しいコメントありがとうございます!こんな自分でも誰かのために役に立つんだなぁーとパソコンに向かいながら感じています(笑
休職中はご自身のリズムを作るのがとても難しく、大事になってきますので頑張ってくださいね!
Posted by JINN | 2007年06月24日 19:51