さて、前回のコラムでもご紹介しましたが、個人情報の漏えいといっても、ほとんどは不注意から起こるものです。意識せず起こる事故を防ぐためにも、日常の注意や不注意防止の仕組みを導入して備えておきたいものです。
今回のコラムは、悪意のある人へのセキュリティ対策についてです。
ハッカーとクラッカー
みなさんは、「ハッカー」と「クラッカー」という言葉を聞かれたことはありますか?マスコミなどでは、両者をあまり区別せず「ネットワークに侵入する犯罪者」のような悪い意味で使っています。
しかし、ハッカーは、元々は「天才的な技術者」という意味で、コンピューターに関する優れた知識や技術を元に、好奇心をもって技術可能性を追求していく人のことです。先日は、Facebook社が同社のウェブサイトのセキュリティの問題(セキュリティホール)を報告した人に対し、1件500ドルを払うイベントを始め、世界16カ国以上のハッカーから協力を得て4万ドル以上を支払ったとの報告がありました。
一方、「クラッカー」の方は、悪意を持って意図的に企業や政府のコンピューターに侵入して機密文書を盗んだり、システムを破壊したり、パスワードを盗んだりする人です。先日、あるゲームメーカーが、バージョンアップを怠っていてセキュリティホールをつかれ、個人情報1億人分を流出された事件は、記憶に新しいところです。事前にこの問題は指摘されていたにも関わらず、メーカーが対策をしていなかったことから、被害者であるメーカーが非難される状況になりました。
こういった人たちがすべて優れた技術力を持って高度な攻撃をしているというわけではなく、セキュリティの弱いサイトを地道に見つけていくということも多いと言われています。たとえば、ホームページを自動的に訪問するロボットを作り、パスワード管理の甘いサイトを探し回るという方法です。検索エンジンのYahoo!やGoogleがそのロボットを使って、世界中のホームページを巡回するのと同じですね。検索エンジンのロボットは巡回して必要な情報を集めるだけなのでクラッカーではありませんが、悪意のあるロボットは問題を見つけたら攻撃をしてきます。逆に、利用者レベルのちょっとした注意で、問題を回避できる可能性もあります。
中小企業の対策とは
さて、中小企業において、悪意のある人に情報を取られないようにするにはどうすればいいでしょうか?
世の人々の善意を信じたいところではありますが、お金に困っている社員、商売が苦しい出入り業者やライバル企業など、「魔が差す」ということはありますので、お互いのためにも事故にならないよう対策はしっかりしておきたいものです。
お金や書類なら、物理的に盗まれないよう金庫に入れてしっかりと施錠したり、貸金庫を使うこともあるでしょう。
情報に関しても同じです。
データは預ける、サーバーは自社で持たない、管理者も専門管理者と契約するなど外部の力を借りて自社で持たないという方法も一考です。
また、紙は基本的に持たない、必要以上に個人情報は収集しないのも重要ですね。平成22年度に漏えいした情報の形態は、紙媒体の方が電子媒体より多く報告されていました。(消費者庁報告より) 紙は意外に保管が甘くなりがちで、廃棄する時もゴミ箱に無造作に捨てがちです。いっそ印刷しないですべてデータで持ってセキュリティを確保するか、アンケートでも生年月日など個人情報は聞かないでおくと良いでしょう。
あなたの会社は大丈夫だとしても、外で情報を扱う場合の注意は必要です。
特に、不特定多数の人が集まるインターネットカフェにおいて、自分のIDやパスワードを使って会員制のホームページに入るなどは止めるべきです。悪意のある人が、ID・パスワードを盗むソフト「キーロガー」などを入れているかもしれません。
「君子危うきに近寄らず」といいます。
特に大切な企業の情報を持っているときは、あやしい場所には近寄らないのが賢明でしょう。アダルト系のサイトは、いたって危ないものです。
また、先日アメリカのセキュリティーソフト大手のマカフィーが実施した調査では、スーパーモデルの「ハイディ・クルム」の画像などをインターネットで検索すると、約10%の確率で、ウィルスやスパイウェアを含んだ悪意あるサイトに接続されるそうです。好きな俳優やモデルのことを知りたくて検索したら、悪意あるサイトに誘導される、そんな可能性もあることを理解したいですね。
連載の最後に
これまでセキュリティコラムにお付き合いくださり、ありがとうございます。
基本的なことばかりですが、中小企業が特に気をつけたい点をご紹介してきました。
セキュリティは事故が起こって初めて意識するものですが、IT化の波により被害がすぐに拡大し、企業の信頼を大きく損ねるケースが出てきました。
皆様の会社でもぜひ、予防と対策をされることをお勧めします。
<セキュリティコラム>
第1回: メールの注意編
第2回: パスワードの管理編
第3回: 名刺の管理編
第4回: 個人情報の提供に同意をしてもらう
第5回: 個人情報の漏えいを防ぐ
第6回: 個人情報の苦情から見る、中小企業が取るべき対策
第7回: 悪意ある攻撃から、情報を守る
福田 光修(ふくた みつのぶ)
アイ・モバイル株式会社 セキュリティ&ネットワーク部事業部長
1966年生まれ。名古屋大学卒業。リクルートで住宅・教育系のWebサイトの企画開発を行うと同時に、同サイトのカスタマー対応の責任者としてプライバシーマークを取得する。その後、ITの上場企業でWebシステムの開発や情報システム部門の責任者として従事。2010年5月より、アイ・モバイルのセキュリティ&ネットワーク部部長に就任。
