役人のITリテラシーが露呈するニュースがありました。
というかファイル共有ソフトとかビットトレントとか、何年前の話って感じしますけど。未だにやってる人いるんですね。
核物質管理センターで起こった事件というのが恐ろしい。核物質の情報管理は大丈夫なのって感じですよね。
原子力施設への核査察などを担う公益財団法人「核物質管理センター」(東京都)の職員のパソコンからファイル共有ソフトを介してデータが流出した問題で、同センターは22日記者会見し、2種類の共有ソフトの使用を認めた。一方、同センター内ではそれ以外の共有ソフトも無断で使われていたとみられることが関係者への取材で分かった。他にも不正アクセスを受けた可能性があり、同センターが調査を進めている。
毎日新聞の報道などを受けた同センターの発表によると、「迅雷」という中国製の共有ソフトを職員が無断でインストールし、データが流出したほか、昨年7月に同センターが購入した台湾製のハードディスクに「ビットトレント」という別の共有ソフトが入っていた。
「迅雷」というソフトは、このニュースがあるまで知りませんでした。ダウンロードソフトなのですが、P2P方式と普通のダウンロード方式を組み合わせて利用できるようです。まあ違法なアプリケーションですけどね。
役所のITリテラシーの低さ
この事件って3重の意味でアウトなんですよ。
というのも、核物質を管理する公益財団法人で、ファイル共有ソフトのインストールを阻止できなかった時点でまずアウト。
更に、「迅雷」をインストールして違法ダウンロードした時点でまずアウト。
最後に、ファイル共有ソフトを使って情報流出したのでノックアウト。
- 当該PCを使用する職員は査察機器の保守の担当者であり、当該PCには保守業務の遂行に必要な情報が保存されていた。それらの情報には事業者の情報等、管理上の配慮が必要な情報も含まれたが、核物質防護その他の機密を要する情報は含まれていない。
- また、通信量から考えて、当該PCに保存されていた情報そのものが流出した可能性は低いと考えている。
これ読むと、終始言い訳です・・
情報セキュリティ専門会社にシステムの常時監視を委託しているようですが、「迅雷」や「ビットトレント」といったP2Pを職員がインストールしても気が付かないってバカなの?
もっとリテラシーの高いIT企業たくさんあるのに。役所に常駐してるSIerって下請けが多いのかな。
しかもファイル共有ソフトのダウンロードやインストールを物理的に不可にする対策を取ってない様子。
随分マヌケな話で、ファイル共有アプリのダウンロードサイトはアクセス禁止にすればいいし、管理者権限を持ってない人のアプリのインストールを不可にするくらい、簡単にできますからね。
しかも今回のことに懲りずに、再度、使用禁止の通達で周知徹底を図ったって書いてあるけど 笑
通達で防げないんだから物理的にできないようにしなさいよ。
→ 役人のリテラシーが低いんですね。まさか流出するなんて思ってない。
ファイル共有ソフトによる情報漏えいのリスク
どんな企業でも、情報漏えいが出たら大変です。
大抵は取引停止になるはず。
今回の事件のように、核物質を管理している団体でこれやっちゃいけません。論外です。
ファイル共有ソフトは、別名 P2Pソフト と言われています。特定のプロトコルを使って通信を行い、専用のネットワークを構築します。このネットワークに接続された不特定多数のコンピューターとの間で、ファイルのやり取りを行います。
不特定多数のコンピューターと繋がるという時点で、情報漏えいのリスクはめっちゃ高くなります。
この記事が良くまとまってますよ。↓
しくみを知る:なぜファイル共有ソフトによる情報漏えいが怖いのか
Skypeは?
実はビデオチャットのSkypeもP2Pの技術を使っています。Skypeに備わっているファイル送信機能は情報漏えいしないのか気になりますよね?
これは大丈夫です。Skypeのファイル送信昨日は、友達どうしの送受信が基本なので、ウィルスを無作為にばらまくことはできない仕組みになっています。ご安心ください。
役所や大企業のセキュリティーを上げる
わたくしは以前、逗子市役所という役所で働いていたことがあるので、役人のITリテラシーの低さは身を持って理解しています。
15年前の話ですが、職員のPCにアプリケーションは入れ放題だったし、どこのサイトを見てもお咎め無しでした。
OSは常に最新の状態
Windows10、Windows8、Windows7を使いましょう。
東電はWindows XPのサポートが終了した2014年4月9日以降、2015年3月までXPを使い続けましたけど、こういうのは論外。
2015年3月末に東京電力はWindows XPの使用をやめたようですが、2014年4月〜2015年3月末までの1年間はセキュリティーに穴が空いた状態で使い続けていたということになります。
ウィルスソフトを入れる
まあこれはWindows使ってるなら基本中の基本。やってない会社は無いはず。
で、社員のPCは複数台あるはずなので、1台の管理用PCから、他のPCも一括で設定できるアプリケーションを選びます。こうしないと個別PCでの設定漏れが出ます。
アプリのインストールをさせない
管理者権限で、社員にアプリケーションのインストールができないように設定しましょう。
ファイル共有ソフトは禁止
不特定多数のコンピューターと繋がるのでやめましょう。
USBメモリは禁止
情報流出を防ぐには必須です。物理的に使えないような設定をします。
ユーザーのPC利用状況と操作内容のログを取得
ユーザー管理のアプリを入れて、こういう項目をきっちりと取る
メール添付もきっちり監視
添付ファイルもウィルスが送受信されていないかチェックします。
URLフィルタリング
閲覧サイトを監視して、「迅雷」や「ビットトレント」のダウンロードサイトはアクセスを禁止する。その他、業務に関係ないサイトのアクセスも制限をかける。
中小企業で情報漏えいのリスクを減らす
10人以下の会社だったら、Chromebookを導入するのもありです。大企業は「クラウドはセキュリティーが怖い」という理由で、なかなか浸透しないけどね。
Chromebookなら3万円も出せば、メモリ4GB、SSD16GB のめっちゃ快適なマシンが購入できます。
Windowsで使ってるソフトをインストールすることはできませんが、WordやExcelならGoogleドライブで代替できるし、Chrome拡張でかなりのことはできます。
16GBと本体に保存できる容量は少ないですが、Googleドライブを保存先に設定できるので、全く問題はないです。
本体にデータを保存しないから、万が一紛失しても、データの流出の心配はありません。Googleアカウントを2段階認証しておけば、本人以外ログイン出来ないので、セキュリティーも安心。なくした時点でログイン出来ないように設定すればいいのです。
クラウドで仕事をする
会社で使うなら、Windowsのアプリケーションがインストールできなきゃ使えないよという方もいるかもしれません。でも今はクラウドでかなりの仕事ができる環境が整っています。
例えば、クラウド会計を導入すればブラウザで経理の仕事もできるので、Chromebookでも経理ができるのです。一度クラウド会計を使うと、再び、弥生会計をインストールして使うという選択肢はないですね。1端末でしか使えないから、上司が部下の仕事の進捗具合を確認することもできないしね。
どうしてもWindowsのソフトが必要な人以外は、Chromebookにするのもありだと思います。
ナレッジ