情報漏えいは防げないのか 厳しいペナルティとアクセス制限、どちらが有効？：IT Business フロントライン （92）

[磯和春美（毎日新聞社），＠IT]

　防衛庁が富士通に発注した自衛隊のシステム開発の設計資料の一部が外部に流出していた事件は当初、企業を舞台とした典型的な恐喝未遂か、あるいはすご腕のハッカーによるハイテク情報漏えい事件なのかと注目していたが、データ流出の経緯のずさんさはあきれるものだった。それに加え、この話が表面化するきっかけになった「恐喝未遂」事件の真相についても、脅された富士通側と脅したとされる側との言い分の食い違いぶりは、芥川龍之介の「藪の中」ばりだ。この奇妙な話から浮かび上がってくるのは、「情報流出は防げない」という情けない現実ばかりである。

始まりは恐喝未遂事件

　この奇妙な情報漏えいが表ざたになったのは、富士通による告訴だった。7月初旬、富士通に対して「防衛庁のデータ交換網の設計図を入手した」と連絡してきた複数の男がいた。富士通側は防衛庁に連絡し、鳩首会議の末にこの男たちを恐喝未遂で8月上旬に神奈川県警に告訴、神奈川県警も男たちから事情聴取に乗り出した。

　神奈川県警中原署への告訴内容では、まず6月末から7月初めにかけて数回、複数の男から「富士通の社員から資料を入手した。こういう情報が外に流れると困るだろうから、買い取ったほうがいいんじゃないか」などと接触があったことだという。富士通は部長クラスの人間を指定されたホテルに派遣して男たちと接触。その際、開発段階とみられる資料を見せられ、資料の買い取り要求があったというものだ。男たちはこの部長に第三国へ資料を渡すことをにおわせたというが、金額の提示はなく、同社は買い取りを断ったのだという。

　その後の捜査などによると、富士通に交渉を迫った男は3人で、1人は元海上自衛官、あとはインテリア会社の社長と健康食品販売会社社長。富士通は「全面的に捜査に協力する。データを窃取、悪用しようとする者には断固たる措置を講ずる。セキュリティの管理体制はさらに強化を行う」などとコメントを発表、悪に屈しない姿勢をアピールした。

　ところが、この男たちが次々にマスコミに登場、8月13日時点で元自衛官は実名で新聞、テレビなどのインタビューに応じ、告訴内容を全面否定しており、真相は藪の中だ。

　一方、防衛庁によると流出したデータは、陸上自衛隊と航空自衛隊の各部隊にある端末を結ぶデータ交換網の設計資料だという。自衛隊内の各パソコンに割り振られたIPアドレスと、どのようにパソコン同士を結んでいるかのネットワーク資料が含まれており、実際にこの資料に基づいて構築されたネットワークを利用し、陸自200駐屯地、空自約20基地をオンラインでつないでいる。ネットワークは今年2月に完成し、3月から運用を開始している。

　「このネットワークで流されているのは、人事情報や事務連絡が中心」（防衛庁）ということと、VPN（仮想専用線）なので外部からは接触しにくく、「流出した資料で情報が漏えいするなどの支障は考えにくい」（同）こと、さらに防衛庁指定の秘密事項も流れるが情報自体を暗号化しているため、国家機密レベルの情報漏えいにはつながらない、と防衛庁側は判断しているようだ。ただし、防衛庁は念のために流出したIPアドレスの変更を富士通に要求、富士通側もこれに同意した。

あっけないデータ流出の経路

　さて流出したデータには、富士通側のシステム開発段階のものや工事作業に関するものなど、同社しか保有していない資料が含まれていたため、流出元は富士通側ということは早い段階で分かっていた。

　では、データの持ち出しはどのように行われたのか。資料を持ち出したとされる30代の男性がマスコミに語ったところによると、作業を自宅でも行うため、「データを自分のパソコンに入力して外に持ち出した」とのこと。

　なんのことはない、社内でコピーし、堂々と自宅に持ち帰っていたデータが印字され、外部に渡った“だけ”だったのだ。

　この男性はフリーのシステムエンジニアで、防衛庁のシステム開発のため、富士通の下請けだった都内の電気設備会社から派遣される形で、川崎市内の富士通の工場内で構築中のシステムが設計通り機能するかどうかの接続テストなどを担当したという。また、首都圏にある自衛隊の基地や駐屯地などの通信所内に、システム配備のため出入りしており、その際には富士通の実在する社員として、ほとんどノーチェックで通行していた。

　男性はたまたま知り合ったインテリア会社社長に自分の仕事内容などを話し、その際に「データ管理がずさんなことを示そうと」、17枚の印刷データを渡したという。さらに出版社やマスコミ関係者にも同様の情報を流し、データも渡していることを認めている。

決め手に欠ける情報漏えい対策

……と、“事件”のあらましは、どうにもしまらないものだが、あえて教訓を探すとすれば、「情報漏えいはどんな場面でも起こりうる」ということであり、「歯止めをどのように効かせるのか」が、情報管理の重要な選択になるだろうということにありそうだ。

　「情報漏えい」といった場合、多くの人は「厳重なセキュリティを高度な技術で突破する不正アクセスで重要なデータを持ち去られる」ようなイメージを持つと思うが、実際に起きるトラブルのほとんどは、組織の内部の人間が出来心だったり、あるいは買収されたり、組織への意趣返しのためだったりのために引き起されるものだ。そしてまたその多くは、組織側のちょっとしたすきをついて──つまりは持ち出し側は特別の工夫もなく、簡単に──情報の持ち出しを成功させているのである。

　今回の事件でもすきがあった。こうした組織のすきは、不心得な人間に「これくらいはいいだろう」という油断や甘さを育ててしまう。情報漏えいを防ぐためにはすきを作らないこと、どこまでも決めたルール通りに行うことがまず第一歩だろう。

　しかしそれでも、情報漏えいは起こりうる。どんなにルールを厳しく作り、守るよう促しても、情報に接している人間が、いつも組織に忠実で、ルールを守るとは限らないからだ。だから人間の側に二重、三重にの歯止めが必要になってくるのもやむを得ない。その点で、現在稼動が始まった住基ネットなどは、ほとんど歯止めなどないに等しいのだから、システムを動かしている当事者は能天気だ。

　人間の側にかける歯止めは、どのようにすればいいのだろうか。1つには、罰則の強化がある。しかしこれとても、莫大な報酬による買収や弱みを握られた人間が引き起こす可能性を排除できない。もう1つは、情報の全容にアクセスする人間をごく限られたものにし、多くの人間には情報の一部しか知らせないという手段がある。こちらは情報や知識を共有して生産性の向上や新しいアイデアを生み出す、いわゆる知識経営に逆行する。あるいは、関係者の相互監視の強化も情報漏えいを起こりにくくするだろうが、人間不信を推奨するようであまり気持ちのいいものではない。

　いずれにせよ、現実には情報は漏れるものだとあきらめなければならないのかもしれない。その上で、その情報が漏えいした場合にどれほどの損失や迷惑を発生させるのか、対して対策にコストがどれだけ掛けられるのか、組織の情報管理者はそれらを勘案してセキュリティプランを講じる必要がある。情報管理者の責任は、重くなる一方といえそうだ。