情報漏えいの8割は内部要因

 最初に触れた朝日新聞の記事(1月6日の朝刊一面「ネット接続の複合機など、データ丸見え 大学など26校」)によれば、計140台で第三者が外部からデータにアクセスできる状態にあったと言います。

 官公庁や一定規模の企業はファイアウォールやパスワード設定などの対策をとっている一方で、大学などでは機器の設置やネット接続が研究者ら個人の裁量に委ねられることが少なくなく、組織的な対策から漏れてしまうケースがあると見られ、その後の内部調査で計677台の複合機とプリンターで同様の状態になっていることが分かったとしています。

 また朝日新聞は、昨年3月、ネット接続できるウェブカメラで、独自調査した2163台のうち約35%にあたる769台がセキュリティ対策を取っておらずに第三者から映像を見たり音声を聞いたりできる状態になっていたことを報じています(「ウェブカメラ、ネットで丸見え3割 パスワード設定せず」)。

 ネットに接続する機器が増え続ける中、こうした問題が指摘されるたびに、グローバルIPを設定するのがおかしい、初期設定でパスワードを入れればいい、ユーザーへの説明が不可欠、などなど、それぞれの立場に向けた対策を望む声が上がります。そしてそれは、どちらかというと不正アクセスなどを意識したものが多い。

 一方で、実際の情報漏えいの原因は、件数で見ると不正アクセスやウイルス感染などの外部要因ではなく、8割がうっかりミスなど内部要因です(こちら)。

 毎月さまざまな情報漏えい事件が起きています(こちら)が、管理ミスや誤操作、情報の持ち出しなどが多いとされています。もっとも、ウイルス感染や不正アクセスは、1件当たりの情報流出量が大きく被害が深刻なため、当然そのリスクも看過できません。

 こうした問題に対して、組織的あるいは技術的な対策については、実はそれほど差がつきません。ルールや方法が一般化されているからです。

 これに対して、個人に管理を委ねている部分については組織間の差がとにかく大きい。どんなにルールを厳格にしても必ず隙間があります。社員一人ひとりの意識の差が、そこで組織のリスクとして差を生んでいるのです。

次ページ 叩けば開く鍵