Hatena::ブログ(Diary)

わらしべ++

2006年03月15日(水) Winny問題について

 相変わらずWinnyによる情報漏洩のニュースが止まらない。

 生保NTT国会議員警察陸自海自、市役所に学校と、もはや何が出ても驚かない状況だ。

 「実は、Winny情報管理の杜撰な組織を告発するための正義ソフトなのでは?」などと茶化されてすらいる現状である。

 

 マイクロソフト内閣官房からも対策ページが出ているが、問題は多くの人が「Winnyさえ使わなければ大丈夫」と早合点してしまうことだろう。

 実際、Winnyに関する情報漏洩は、以下のパターンを「全て」満たさないと起こらない。

 

  (1) Windowsを使っている

  (2) Winnyを使っている

  (3) ウィルス対策が不十分(もしくは何もしていない)

  (4) セキュリティ対策が不十分(もしくは何もしていない)

  (5) Winnyを使って怪しげなファイルを開き、Antinnyウィルス感染した

  (6) 会社/組織から重要な情報を持ち出した

  (7) 重要な情報Winnyが入っているPCに入れた

 

 ここで「(2)Winnyを使っている」の条件が欠けたとしても、それ以下の条件を満たしていれば(2)に変わる脅威なんていくらでもある。

 他のファイル交換ソフトしかり、メール添付型のウィルスしかり、Webアクセスでの不正プログラム実行しかり。

 もちろん「(1) Windowsを使っている」についても、他のOSなら現状リスクが低いというだけで安心という訳ではない。

 

 言うまでもなくもっとも問題なのは「(6) 会社/組織から重要な情報を持ち出した」であるが、これも一概に本人だけを責められない部分はある。

 仕事は増える一方だが残業は抑制され、止む無く自宅に仕事を持ち帰ったというケースが一番多いのではなかろうか?

 組織として情報持ち出しに厳密なルールはあっても「本音と建前」で有名無実化しているのであれば意味は無い。実情に合わせてどうやって現実的なルールを作るかが肝要だが、もっとも困難な部分でもある。

 

 

 最後に改めてWinny自体の問題に立ち返るが、高木浩光氏がブログで興味深い方法を述べている。

    http://takagi-hiromitsu.jp/diary/20060302.html

 

 「Winnyの使用が無くならないなら、せめて安全なWinnyの使い方だけでも伝えていくべき」という考え方は確かに現実的だ。

 

 

 

■特集Winny問題(日経IT Pro)

http://itpro.nikkeibp.co.jp/winny/

 

Winnyによる情報漏えいを防止するために(IPA:情報処理推進機構)

http://www.ipa.go.jp/security/topics/20060310_winny.html

 

ファイル共有ソフトによる情報の流出について(2006/3/15 マイクロソフト)

http://www.microsoft.com/japan/athome/security/online/p2pdisclose.mspx

 

Winnyを介して感染するコンピュータウイルスによる情報流出対策について(2006/3/15 内閣官房)

http://www.bits.go.jp/press/inf_msrk.html