本文とサイドメニューへジャンプするためのナビゲーションスキップです。

トップページ  >  経営をよくする  >  法律コラム

特集一覧 中小企業に役立つ記事や施策をトピックスごとにまとめています。

情報漏洩問題とWinny

テーマ:企業統制・リスク管理

2006年4月20日

解説者

弁護士 壇俊光

1 始めに

昨今、ファイル共有ソフトWinnyについて、情報漏洩事件の報道が相次いでいます。平成18年2月に発覚した海上自衛隊の機密データ流出事件等は、官公庁の情報管理の甘さが明らかになった点で非常に衝撃的なものであったと思われます。
しかしながら、これらの情報漏洩問題では、誤った報道がかなりあります。これらの報道には、遺憾の意を禁じ得ません。また、これらの情報漏洩問題が、官公庁だけの問題であるように誤解することも、非常に問題です。
そこで、今回は、コンピュータウイルスと、情報セキュリティの基本について解説いたします。


2 Winnyとは

Winnyとは、日本人のプログラマが、新しいP2P型のネットワークについての実験のために無償配布していたファイル共有ソフトです。
P2Pというと聞き慣れない言葉かもしれませんが、一カ所にアクセスが集中することによる負担を分散し、効率の良い情報通信が可能だとして、近年注目されている技術です。
ファイル共有というのも耳慣れない言葉ですが、Winnyの制作者によれば、「インターネット上に作られた持ち合い図書館のようなものである」と考えて欲しいとのことです。
Winnyの技術は、世界的に見ても優れており、さまざまな分野に応用可能と言われています。しかしながら、他方では、高い転送効率や検索能力を悪用した事件がおこっており、情報漏洩問題もその一つと言えます。
なお、Winnyを使うためには、自らインストールして、様々な設定をする必要があり、設定にはネットワークについてのかなりの知識が必要とされます。Winnyが勝手にパソコンにインストールされているということはありません。


3 暴露ウイルスによる情報漏洩

今回問題になっている情報漏洩は、コンピュータウイルス(暴露ウィルス)に感染したために、利用者の意図しない情報までがネットワーク上に公開されてしまうことにより起こるものです。
Winnyは、公開用のフォルダに公開したいファイルを保存することで、ネットワーク上の多くのWinnyユーザに公開されるのですが、問題となっているウイルスの多くは、本人が公開を意図していないファイルやウイルスを勝手に公開用のフォルダに保存することで情報漏洩を引き起こすのです。
Winnyで多くの暴露ウイルスが流れているのは、制作者がWinnyの改良が困難な状況にあり、そのこともあって、ウイルス作者が情報漏洩させる腕を競う場のような状況となっているからです。
これらのウイルスの機能は、Winny以外にも応用可能です。また、新しいタイプのウイルスは、Winnyに依存しない独自のネットワークを作りだす機能を有しており、一度感染するとWinnyを起動しなくてもパソコン内のファイルが外部から参照することができます。つまり、政府の報道などから誤解が生まれているようですが、暴露ウイルスは、Winnyを使いさえしなければ大丈夫というものではないのです。
暴露ウイルス対策は、基本的な情報セキュリティをしっかりすること以外には無いのです。


4 情報漏洩対策

暴露ウイルスによる情報漏洩の可能性は、情報セキュリティに十分な費用をかけることのできない中小企業にとって、より問題となります。
Winnyを悪用した暴露ウイルスが、パソコンに感染して情報を漏洩させるまでには、以下のような条件が必要です。
(1) Winnyをインストールして設定する。
(2) 暴露ウイルスをダウンロードする。
(3) 暴露ウイルスを実行する。
(4) 暴露ウイルスに感染したパソコンに漏洩してはいけない情報が保存されている。
(5) 重要な情報が保存されているパソコンがインターネットに接続されている状態にある。
(6) 重要な情報が、第三者が容易に見ることのできる状態にある。
このうち、(1)や(2)はWinny自体を使用しなければ良いでしょう。(3)についても暴露ウイルスは実行させるために、フォルダやテキストファイルのような表示に偽装していることが多く、したがって、ファイル名を拡張子を含めて全て表示したり、詳細表示により明らかに不自然なファイルサイズではないか、本来であれば実行型のファイルであってはいけないにもかかわらず実行型のファイルと表示されていないか等を確認することが対策としてあげられます。
より大切なのは、(4)〜(5)です。絶対に漏洩してはいけない重要な情報が保存されているパソコンはそもそもネットワークに接続してはいけません。重要な情報を保存しているパソコンではWinnyを利用してはいけません。ただ、会社のネットワークで、Winnyを使うなと規制することはある程度可能でしょう。しかし、報道されている情報漏洩事件の多くは、データを自宅に持ち帰り、自宅の私用パソコンでWinnyを利用しながら仕事をしていたことが原因であることを重視しなくてはなりません。このような情報セキュリティの基本に反する行為が情報漏洩の原因なのです。
そして、(6)については、あまり報道されませんが、漏洩してはいけないデータは必ず暗号化する必要があります。つまり、データが流出しても、第三者が利用できなければ情報漏洩にはならないのです。情報漏洩の多くは会社内部の持ち出しが主流ですが、暗号化による対策は持ち出しによる機密漏洩にもある程度対応することが可能であり、私のお薦めです。暗号化のソフトは、無償で公開されているものもあり、費用的にも導入しやすいものとなっています。


5 中小企業の情報セキュリティ

対策について、極端に言えば、すべてのパソコンをネットワークに接続できないようにすれば、安全と言えば安全でしょう。しかし、フロッピーディスクを持ち歩いて、顧客との連絡は郵便のみというのは、今日の経営から見て現実的ではありません。ありとあらゆるデータを戦車のように武装することは、経営の効率を下げてしまうのです。
効率と安全を両立するためには、どのような情報に、どのような脅威があるのか、その脅威はどの程度起こりうるのか、その脅威が起こったときどれだけの損害があるのか、というリスク分析をして、情報をどの程度対策するかをそれぞれ決定する作業が必要です。
しかしながら、現状では、リスク分析を行っている企業はごく僅かです。人事に適材適所があるように、情報セキュリティも適材適所が大切なのです。ご参考ください。


(2006年4月執筆)


壇俊光 (ダントシミツ)
出身地 大阪
資格  弁護士 大阪弁護士会所属
役職  大阪弁護士会消費者保護委員会会員
     大阪弁護士会図書情報処理委員会会員
     大阪弁護士会犯罪被害者支援委員会会員
     法情報ネットワーク法学会会員

同テーマの記事を見る 3つのコンテンツから検索ができます!

このページの先頭へ

このページの先頭へ