Internet Watch logo
記事検索
最新ニュース

セキュリティ対策済でも情報漏洩しないわけではない~大阪府立IDC木村氏


 シマンテックは15日、報道機関向けに「地方自治体/公共団体のセキュリティに関するメディア・ワークショップ」を開催した。講師に財団法人 関西情報・産業活性化センターIDC事業部の木村修二担当部長を招き、京都府宇治市を例にプライバシー保護の観点から行なう情報セキュリティ対策について講演が行なわれた。


技術的には安全だが、市民としては“安心”できない

 京都府宇治市では、1999年に住民基本台帳データ22万件を漏洩する事件が発生した。当時宇治市の職員として対応したのが木村氏で、宇治市における個人情報保護条例の制定(1999年)や、再発防止のためのシステム構築(2001年)などを担当した。

 「情報漏洩が起きたときの被害者は情報主体である市民。宇治市は加害者になってしまった」。2度と加害者になりたくないという決意から、宇治市では情報セキュリティの所有者である市民を「情報主体」と位置付け、「情報主体の権利を保証するための情報セキュリティ」を目指すべき理念とし、「情報主体が理解できる対策」「データの保護ではなくプライバシーの保護」という方針を決定したという。

 「総務省でも『安全安心の~』などと掛け声を上げているが、そもそも安全と安心は異なると思っている。具体的にこういう対策をしているから客観的に大丈夫というのが『安全』だが、『安心』とは情報の所有者たる市民が安心を感じること。つまり『安心』は主観的なもので、安心を感じてもらうためには、安心だと判断してもらえるだけの情報提供が必要だ。技術的には安全だが、市民としては安心できないというのが現在の実情だ。」


宇治市では「2度と加害者になりたくない」いう決意のもと、情報セキュリティの方針を決定したという。 財団法人 関西情報・産業活性化センターIDC事業部の木村修二担当部長

セキュリティ対策の実施度と事件が発生することの相関性はない

リスクの分析の“公式”については独自の考えを披露
 実際に情報漏洩事件が発生してしまった宇治市だが、「事件が発生する前も宇治市の対策はそれほどひどいものではなかったはず」とコメント。「セキュリティ対策を行なわなかったら事件が起きると言われるが、宇治市より対策していなくとも事件が発生しない自治体もあるし、対策していても事件が起きる場合もある。事件が発生するかしないかは、むしろ攻撃者側の問題ではないか」と情報漏洩事件とセキュリティ対策に必ずしも相関性があるわけではないと述べた。

 続いて、攻撃する強さを「脅威」、攻撃を受ける弱さを「脆弱性」として、「事件が発生するかどうかは脅威が脆弱性を上回るという相対的な差だ」とする意見に対しては、「相対的な差というのは、あくまでも事件が起きてしまった際の結果解釈だ」指摘する。「例えば、空き巣が入った家を調べたら鍵がかかっていなかったというケースで、鍵がかっていないから泥棒が入ったという結論になってしまうのと一緒。実際には泥棒側が空き巣に入る要因はさまざまで、本質的な問題は脅威そのものが未知数だということ。悪い奴が犯行可能な状況だったと、脆弱性側に再発防止策を講ずる観点がセキュリティの基本だ」と、結果解釈だけでは対策にならないという見解を示した。

 リスクの分析として「リスク=資産の重要性×脅威の程度×脆弱性の程度」「リスク=被害の大きさ×発生確率」とする“公式”についても独自の考えを披露。「資産の重要性、つまり個人情報については各個人で重要性が異なる。また、脅威や脆弱性の程度、被害の大きさも正確にはわからない」とコメント。発生確率に至っては「何を分母にするのか」とし、情報管理者側の情報だけではリスクを判定しきれないという。


セキュリティ対策を実施する上での問題

 セキュリティ対策を実施する上での具体的な問題としては、「セキュリティを強化すれば、職場のスタッフから『不便になる』などと言われること」を挙げた。しかし、「情報システムを導入して便利になるのは情報管理者である事業者側。事業者側の利便性ばかり追求していたら、情報主体側の危険性が増すばかりなのではないか。例えば住民基本台帳ネットワークなども利便性が明らかでなければ、情報主体側も危険を負担することはできない」と情報システム化による一方的な利便性の追求を批判した。

 セキュリティ関連の職員研修にも懐疑的な見解を示す。「確かにセキュリティは“人間”の問題だが、研修に何か期待できるのか」とコメント。情報漏洩などの事件はたった1人の不注意・不正行為で発生するとし、「研修するのであれば社員1人残らず意識改革する覚悟が必要だ」という。宇治市では1,500名の職員がおり、「全員の意識改革は不可能なので職員研修には力を入れなかった」とした。

 セキュリティ対策として作業の手順書を用意することに対しては、スタッフから「職員を信用していないのか」との声があったという。「確かに、基本的な信頼関係なくしては一緒に仕事をすることはできない。だが、その信頼感を今日初めて会うお客さまに『私たちを信頼しろ。任せてくれ』と押し付けていいものだろうか」と指摘。ただし、「詳細すぎる手順書を作成したら、住民票1枚発行するのに30項目チェックすることになってしまった。実際に30項目も確認していたら時間がかかり、現場では手順書を無視するようになる」とモラルハザードを懸念した。

 また、「わが社はISMS(Information Security Management System)を取得しました」的なアピールも意味がないという。「情報主体にとって事業者が何を取得したのかはどうでもいい問題。ISMSを取得したら事件が起きないわけでもない。体制や運用方法といった具体的な内容まで公開するのであれば効果はあると思うが……」と資格のアピールだけでは、必ずしも情報主体の“安心”にはつながらないとした。


宇治市のセキュリティ対策、「少なくとも住基ネットより安心できるようにする」

宇治市の具体的なセキュリティ対策
 個人情報保護の適用範囲についても言及。「これまでは情報資産の機密性、完全性、可用性を確保することが情報セキュリティの適用範囲で、個人情報もこの範囲に含まれていた。しかし、情報主体の権利保護ということを考えれば、プライバシーの保護に加え、開示請求権、訂正削除要求権といったコントロール権も適用範囲に加えるべきだ」とし、権利を保障するために適用範囲を再度定義する必要があるという。

 また、セキュリティレベルについても情報主体である市民が決めるべきだとし、「例えば自分自身の情報へのアクセス権は宇治市22万人それぞれに権限が設定されてもいい。個人情報のコントロール権については、全員に権限設定することは難しいが議会や市民団体と意見交換し、少なくとも住基ネットよりも安全で安心できるようにコンセンサスを得ていく」とコメントした。

 なお、宇治市のセキュリティ対策は「未知数である脅威を有限の脅威に転換し、物理的・技術的セキュリティをメインにおいて実施した」という。具体的には、ネットワークとクライアントPCの問題点を切り分けして技術的な対策を施している。TCP/IPの脆弱性を念頭に置き、LAN内の通信をVPN化したり、特定のパケット排除するなどルータなどでアクセス制限を強化した。また、クライアントPCではデータの書き出しを制限。USBメモリなどの外部ストレージに対する使用制限を行なったほか、ファイアウォールを導入することでネットワークへの書き出しも制限した。

 「通信の問題は通信のレイヤーで、クライアントの問題はクライアントでそれぞれ安全対策を行なった。サーバー用のセキュリティソフトは高価なので、サーバーを保護するソフトウェアは導入していない。問題がサーバーに達する前に叩き落とす構造だ。」

 木村氏は、こうしたセキュリティ対策も適切に監査されなければ意味がないという。「一部業者には、セキュリティ対策を実施した業者や監査法人にシステム監査を依頼する助言型監査を実施しているケースもあるが、利害関係者が監査していて効果があるのだろうか。情報主体の権利を守るという自治体的な考えではあるが、宇治市では市民が不正行為を監視する仕組み作りに取り組んでいる」とした。

 最後に会場からの質問に答えて、「宇治市の情報漏洩は1人につき1万円(裁判費用込みで15,000円)になった。最近では情報を漏洩しても500円や1,000円で済ます企業もいるようだが、消費者はもっと権利を主張するべきで、そのためにも賢くならなければならない」と指摘し、講演を締めくくった。


個人情報保護の適用範囲は再度定義する必要があるという 機密性よりも、情報主体による自分の情報に対するコントロール権やアクセス権を重視

関連情報

URL
  eおおさかiDC
  http://www.e-osaka.ne.jp/
  シマンテック
  http://www.symantec.com/region/jp/

関連記事
悪意の正規ユーザーが内部から情報を流出する~NTT-AT辻本部長(2004/10/27)


( 鷹木 創 )
2004/12/15 21:20

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.