« 独りの週末 | ホーム | BookRevue:「地球の歩き方」サンフランシスコ »

28 June

情報漏洩とインターネットサービス

つい最近まで、"セキュリティ" と聞いて、まず思い浮かべるのが、
Winny・ShareといったP2Pのファイル共有ソフトだ。
大中小を問わず、パソコンを扱う企業ならば、なんらかのユーザへの警告や、
対策をとっているところは少なくないだろう。

MicrosoftのWebサイトでも、
イラスト付きでWinnyの仕組みからわかりやすく説明しており、
警告を促している。

そういった、「情報漏洩」の対策として、
ネットワークセキュリティをテーマとする「connect24th」の管理人
濱本 常義 氏は大きく3つの切り口を述べていた。

 (1)クライアントPCのセキュリティ対策
 (2)許可されていない不正端末の検知と排除
 (3)ネット経由の情報漏洩対策

注目すべきは、(3)のネット経由の情報漏洩だという。

最近では「ネット系サービス」が爆発的に増えている。
それが企業にとってのリスクになっているのだ。

ここで述べる「ネット系サービス」とは
<Ⅰ>「Yahoo!Messenger」や「MSN Messenger」などといった
  インスタントメッセンジャー
<Ⅱ>インターネットを利用した音声通信できるVoIPソフト(Skypeなど)
<Ⅲ>File bankやWebファイルストレージや、「Gmail」をなどのWEBメール
<Ⅳ>「mixi」や「GREE」といったSNS(ソーシャルネットワーキングサービス)
を表している。

そもそも、ネット経由での情報漏洩対策として
企業で行われている一般的なことは

・メールとWebの全利用履歴の保存
・公開鍵暗号方式PGPなどのメールの暗号化
・ファイアウォールのパケットフィルタリング, アプリケーションゲートウェイ

それで、何故「ネット系サービス」がリスクとなるかについて、
濱本 常義 氏の記事と共に考えてみたい。

<Ⅰ>まず、インスタントメッセンジャーといったチャット機能。
手軽に利用できるし、外部とのメールでは送れない、
大きなファイルの送受信には使っていないだろうか。

ここで危険視されることは、インスタントメッセンジャーで通信を行う際、
内容が暗号化されていないということだ。
そして多くの企業内で、業務には関係のないインスタントメッセンジャーの
利用禁止などの運用ポリシーが明確ではないということだ。

手軽に簡単・・・と思って業務に使っていると、
業務上の情報漏洩も考えらなくないだろう。

<Ⅱ>P2P 音声通信サービスを提供しているSkype。
「世界中どこでも無料通話」を謳い、爆発的な普及を見せたSkype。
これは標準で通信を暗号化しているが、昨年日本でこのSkypeに、
一度に3種類の脆弱性が発見されている。

日本ではあまり大きく言われていないが、
海外ではSkypeの脆弱性は多く発見されている。

このSkypeからの情報漏洩や、
外部からの進入路のリスクとして重要視されている。

<Ⅲ><Ⅳ>世間一般で流行しているこれらのサービス。
特徴として、企業内のメールを監視されていることの
自衛策として使用することが多く、
私的な情報交換の場となっていることが現状のようだ。

21日に、mixiをターゲットとしたウィルスの噂があたったが
今後、こういったサービスをターゲットとしたウィルスが増えていくだろう。


現在のWinnyに代表される除法漏洩の状況を考えると、リスクが顕在化してから対策を取ったのでは遅い。
今後、どのようなリスクが大きくなるのかをあらかじめ予測し、対処していくことをお勧めする。

と語っている。

WEB2.0に囃されて、どんどん増えていくWEBサービスや情報手段。
これらに対して、世間の流行速度と、企業・個人にとってのリスクを考え、
対策していかなければ、これからの情報化社会は、企業はおろか、
個人でも立場の辛い状況となるだろう。



参考サイト
濱本 常義 氏 個人プロフィール[Microsoft]
マイクロソフト セキュリティ ホーム[Microsoft]
5分で絶対に分かるファイアウォール[@IT]
「企業のIT活用」 ガイド:水谷 哲也[All About]
「Skype」に複数の脆弱性、リスクは「高」[ITmedia]
Improper handling of URI[SKYPE US]
スカイプ ニュース
mixi、「『ぼくはまちちゃん!』はウイルス」とのデマに注意[RBB TODAY]

« 独りの週末 | ホーム | BookRevue:「地球の歩き方」サンフランシスコ »