再発防止策として「私物PCでも共有ソフトを禁止」

IPA職員の私物PCからの情報流出、事実関係を説明

2009/01/06

 情報処理推進機構(IPA)は1月6日、同機構の職員が自宅で使用していた私物PCから、P2P型ファイル共有ソフトを通じて情報が流出した経緯を明らかにした。ウイルスに感染した結果、PC内にあった文書・画像など1万6208件のファイルが流出したという。

 この職員は2005年7月にIPAに採用され、ソフトウェア・エンジニアリング・センター(SEC)に所属していた。少なくとも2008年12月にファイル共有ソフトを利用してウイルス「Antinny.BF」に感染した結果、ET 2007やSEC設立3周年記念といったIPAのイベントにおける撮影画像のほか、この職員がIPA採用以前に所属していた企業の業務に関する情報や職員に関わる個人情報などが流出した。今のところ、IPAにおける非公開の業務関連情報の流出は確認されていないという。

 IPAで当該PCを解析したところ、「Winny」「Share」両アプリケーションのフォルダが確認された。職員本人の説明によると、「フリーウェアのダウンロード」を目的にファイル共有ソフトウェアを利用したというが、解析の結果、仮名漢字変換ソフトの「ATOK」などのキーワードでファイルが検索されていたことが明らかになっている。また、私物PCにウイルス対策ソフトは導入されていたというが、「定義ファイルの更新頻度は非常に低い。最新のものに更新していれば、普通に防げたはずだった」(IPA セキュリティセンター長 山田安秀氏)。

ipa01.jpg IPA理事 仲田雄作氏

 IPA理事の仲田雄作氏は、「IPAではセキュリティ対策を推進しており、特にファイル交換ソフトの利用については、ウイルス感染によってPC内の情報がインターネットにさらされる危険性を訴えてきた。そして、その危険を避けるために一番いい方法はファイル交換ソフトを使わないことだと啓蒙してきた。こういう事態はIPAとして慚愧(ざんき)に堪えず、非常に遺憾だ」と述べた。

 「IPAという組織に所属している以上、通常の組織よりも高いセキュリティ意識が求められる。もちろん、そのための取り組みをやっているつもりだったが、情報管理の重要性を改めて認識し、規定の徹底を図っていきたい」(同氏)

 IPAでは、業務に関する情報の取り扱いについて、自宅PCへのコピーを禁ずるほか、業務用PCの持ち出し禁止(許可制)、私物PCや周辺機器、USBメモリ持ち込みの禁止といったルールを定めていた。また採用した職員に対しては、新人研修の一環としてセキュリティに関する研修を行うほか、朝礼などで折に触れ、セキュリティの話題を取り上げていたという。

 ただ、こうしたルールの対象は、あくまでIPAの資産である業務用のPC。職員の私物PCについてはその枠外にあった。

 IPAでは再発防止策として、自宅PCにおけるファイル共有ソフトの使用を禁止するほか、研修などを通じてセキュリティ意識のさらなる向上に務めると述べた。職員に対して書面で、「自宅PCでファイル共有ソフトを使用していないこと」の確認書を取るという。

 プライバシーをはじめ法制度との兼ね合いもあり、職員の生活すべてを監視下に置くことは難しい。しかし「社会的使命ある組織の場合、家庭において私物PCを使う場合であっても、一定の規律を求めることが重要である」(山田氏)と判断し、こうした措置をとることとした。ただ、これが一般的な企業にまで適用できるかどうかはケースバイケースであり、退社した職員が保有する業務関連情報の扱いも含め、今後の議論が必要となるだろう。

(@IT 高橋睦美)

情報をお寄せください:


@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
  • 情報危機管理コンテストで考える――人材は育てるもの? それとも育つもの? (2017/6/21)
    さまざまなセキュリティインシデントに対応する能力をコンテスト形式で鍛える「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25〜27日に和歌山県田辺市で開催された。競技シナリオにもない脆弱(ぜいじゃく)性を見つけたチームあり、意識的に初参加者を加えたチームあり、これまでのコンテストの枠を超えた戦いが繰り広げられた
  • リクルートのCSIRTが、マルウェア対策の一部を内製化した理由 (2017/6/19)
     本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、リクルートグループのコンピューターインシデント対応チーム「Recruit-CSIRT」の発想と技術をお伝えする
  • 「WannaCry」の次は「SambaCry」? (2017/6/14)
    2017年5月のセキュリティクラスタ、ゴールデンウイークはのんびり過ごせたものの、その後が大変。ワームとして動くランサムウェア「WannaCry」の話題で持ちきりとなりました。騒ぎが落ち着いたと思ったら「SambaCry」が話題に。結局5月末まで、Windowsファイル共有サービスがタイムライン(TL)を賑わしていました。この他、無線LANのタダ乗り無罪判決に対し、総務省が違法だと主張してTL上で意見が飛び交いました。
  • 「WannaCry」にどう対処する、猛威を振るった「ランサムウェア」を知る記事12選 (2017/5/30)
     2017年5月12日からランサムウェア「WannaCry」が大きな話題になった。これをきっかけにランサムウェア対策を講じることになった企業も多いのではないだろうか。本稿では、ランサムウェアに関する記事をピックアップ。今後のセキュリティ対策の参考にしてみてはいかがだろうか
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH