新・闘わないプログラマ No.427

本日の漏洩


いやもう、ここんとこほぼ毎日のようにありますよね、例のWinnyに関連した情報漏洩。「本日の漏洩」なんてサイトが作れそうな勢い……って、もしかしてもうあったりしますか? しかしまあ、この種のニュースの続報があっても、どの漏洩の続報なのかよくわからんような状況になっていますよね。まあ、海上自衛隊のやつが一番インパクトがあったので、それは覚えていますけど、あとはもう「どうでもいいや」って感じ。
しかし、これだけ単純な仕組みのウィルス(って呼ぶと語弊があるかな、まあいいや)で、これだけ大騒ぎになった、というのはそれはそれですごいのではないか、と思うわけです。だって、さして技術もなく作れる(私だってすぐに作れそうなくらい)あんな簡単な仕組みのウィルスですから。ああやって、こうやって、なにをそうするだけでしょ? 簡単に作れそう ←でも作りませんが ←あたりまえです。
そういう意味ではWinny自体に欠陥があったともいえるわけですが、作者は改良したくてもできない状況にあるわけで、まあなんと言いますか、こりゃもうどうしようもないよね、ってところでしょうか。たぶん、法律で禁止する方向性を探っている向きもあるのではないか、と思いますが、それはどうなんでしょう。なんでもかんでも「法律で禁止」という方向に行くのはどうも……もし禁止するとしても「何を」禁止したらいいか見当がつきませんから、そう簡単にはいかないと思います。

さて、いま騒ぎになっている情報漏洩は、たいてい、

という手順を踏んでいるわけです。これを避けるためには、どう見たって最初の「職場の機密情報を、家で仕事しようとかそういう理由で持ち出す」のところで防ぐしか方法はありません(個人所有の情報、たとえば▽▽な写真が漏洩してしまうとか、そういうのはここでは考えないことにします)。
まあ、機密情報を職場から持ち出すのを禁止しようとしても、それはそれで難しい面があるのも事実です。職場から出るときに持ち物検査やボディチェックでもしますか、というとそこまで踏み切れないことが多いでしょう……でも、一般企業だったらともかく自衛隊だったらそのくらいしないでしょうかね。
あとは、職場で、不必要な人が不必要な機密情報にアクセスできるようになっているなっていること自体に問題があるような気もします。もうかれこれ10数年くらい前のことですが、こんな会話がありました。

「この○○システムのプログラム、ライバル会社に売れないかなあ(もちろん冗談で言っている)」
「いやあ、無理っしょ。周りの環境まですべてちゃんと整えて、うちの運用の考え方にしたがって動かさないと、プログラムだけ持って行ったって使い物にならないから、だれも興味を示さないって」
「だめかあ」
「そんなのより、データのほうが売れるって(もちろん冗談で言っている)」
「そう?」
「だって考えてもみろよ。○○システムの顧客マスターやら注文履歴なんか、欲しがるやついっぱいいるじゃん。中には有名人なんかもたくさん入っているし」
「そういうもんかなあ」
「なのにさあ、その本番データベースをだれでも自由に参照できる、ってのはヤバイと思うんだよね」

さすがに最近は本番データベースに対して簡単にアクセスができないようになっているとは言え、でも不必要な機密データにアクセスすることが禁止されていないことは今でもよくあります。しかし、あのときの顧客マスター、いろいろ調べてみたらいろいろとヤバい事実がでてくるんだろうなあ、なんたって(いろいろと差し障りがありそうなので以下略)。
まあ、それはともかく、機密情報にできるだけアクセスさせない、機密情報を持ち出せないようにする、というのが、この種の情報漏洩に対する最も有効な(というか唯一の)手段だと思います。ところが世の中には、妙な方向に目を向ける人もいるようです。たとえば家でWinnyを使うことを業務命令で禁止するとか。私生活上のことに関してここまで命令できる権限があるんだろうか、と思うのですがどんなもんでしょうか。いまのところ「Winnyを使う」という行為自体が法的に規制されていません(ですよね?)し、Winnyを禁止したって、ほかのその種のソフトに逃げるだけのような気もしますし。
さらに、これはちょっと小耳に挟んだ話なのですが、ある会社で、自宅に置いてある個人所有のPC(当然、仕事とはまったく関係が無い)について、会社が監視用のソフトを導入して、それで情報漏洩がないかどうかチェックしたい、ということでいろいろ調べているらしいのです。
この種の監視用ソフトは、職場の業務用PCに導入して従業員のPCの操作を監視するために用いられるのが主な目的ですが、それを家庭のPCにも入れて使えないか、ということらしいのです。会社上層部からの鶴の一声で、

「情報漏洩を防ぐためには、個人のプライバシーに配慮しろとか、そんなこと言ってられるか!」
「反対するやつらは、悪いことしているという身に覚えがあるからだろう」

なんて感じだそうです。
とは言え、さすがに最終的には、従業員の家にある個人用PCの監視なんてことは取りやめになるんじゃないかなあ、と思います(というか、そう思いたい)。そもそも、そんな個人的なことまで会社が監視する権利があるとは思えません。いまは「そういうことを検討している会社があるそうだ」という段階の話ですが、こんなことが当たり前になったら、いつ自分の身にも降りかかるかわかりませんし。
え?「反対するのは悪いことしているという身に覚えがあるからだろう」ですか? いやまあ、その、ねえ。あはははは。

[前へ] [次へ]

[Home] [戻る]


mailto:lepton@amy.hi-ho.ne.jp