JNSA「セキュリティしんだん」

 

« 「(6)ネット選挙運動解禁における不審メールのまとめ」へ   「(8)Windows XP サポート終了について考える」へ »



(7)インターネットサービスの利用による情報漏えいの危険について(2013年10月30日)

◆ はじめに

この(2013年)夏に世間をにぎわした、中央官庁による「機密情報を誰でも見える状態に放置した」事件。政府機関の情報セキュリティに関する司令塔である内閣官房情報セキュリティセンター(NISC)が、いち早く対策を発表して、メディアの上では比較的早く終息に向かいました。

しかし、この「事件」は「それで終わっていいの?」という要素を、持っているように見えます。そしてそれは、政府機関だけの問題でなく、企業を始め、組織がITをどう利用するかの考え方にも関わる問題を含んでいると考えられます。今回の「しんだん」は、この問題を掘り下げてみたいと思います。

1. Googleグループからの情報漏えい事件
2. インターネットサービス利用に伴う情報漏えいリスク
3. 外部サービスの利用に向かう自組織の環境事情
4. ITリテラシが不足した個人感覚の延長線にいる組織の従業者の問題
5. ITの価値を正しく認識できず、ITを戦略的に活用できない日本の組織の体質の問題
6. 現場の使い勝手に配慮した情報漏えい対策の考え方とは
まとめ


1. Googleグループからの情報漏えい事件

2013年7月11日、NISCは情報セキュリティ対策推進会議(CISO等連絡会議)でこの問題を報告しました。環境省、復興庁、農林水産省、国土交通省において、省庁内や外部関係組織との連絡や情報共有にGoogleグループのサービスを利用し、その内容が、だれでも閲覧可能な状態に放置されていたというものです。この他、厚生労働省は、管理下にある複数の医療機関や介護事業者において同様の問題があったことを報告しています。また、一部の大学でも、同様の問題があったことが、各々の発表で明らかになりました。具体的事例は報告されていませんが、企業においても同様の事例が多数確認されたことは、いくつかの報道や、JNSA会員である株式会社ラックの報告でも確認されています。

CISO等連絡会議の資料から事案を整理してみると、このようになります。(赤字は非公開情報)

省庁名 情報の内容・種類 共有を図った関係者の範囲
閲覧可能だった 期間
環境省 水銀条約交渉に係る状況報告や日本国内の対応状況等(現地記者ブリーフの様子、日本での報道ぶり) 水銀条約の制定に向けた第5回政府間交渉委員会に携わった環境省関係者間
2013年1月〜7月
復興庁 東北3県における防災集団移転促進事業の進捗等に関する資料 担当職員の友人
不明(情報の内容:2013年5月時点/発覚:同7月)
農林水産省 宮崎県綾町の照葉樹林を保護・復元するための官民協働の取組、「綾の照葉樹林プロジェクト」に関する情報 プロジェクト構成員である、NPO てるはの森の会(事務局)、(財)日本自然保護協会、綾町、宮崎県、九州森林管理局 (事務局が開設)
2013年4月〜7月
国土交通省 「東北ブロックの社会資本重点整備方針」案の策定過程における情報 東北地方整備局と発注先である建設コンサルタント会社(同社が開設)
利用期間:2012年8月〜2013年3月
(情報は7月まで残存?)

誰でも見られる状態にあった情報は、復興庁のケースが公開対象であったことが確認されている他は、通常外部の人に開示されることはない情報です。 特に環境省の場合は外交上の機密情報や、交渉相手に知られることで交渉上不利になる恐れもあると思われる情報が含まれていた可能性が指摘されています。 今回問題になったサービスの設定または利用の主体は、環境省、復興庁はその職員、農林水産省と国土交通省では相手先組織のようですが、「情報へのアクセス可能範囲」に対する意識が全くない状態で利用されていたことは驚くべきことです。

同様の情報保護に関する意識の低さ・欠如は、大学の事例でも全く同様です。このような「情報セキュリティリテラシ」の低さ、欠如は、どう考えるべきなのでしょうか。特に政府機関職員においては、情報セキュリティに関する政府機関統一基準群も整備され、教育が徹底されていたと考えられる中での事件であり、根の深いものを感じさせます。


2. インターネットサービス利用に伴う情報漏えいリスク

なぜこのようなことが起こるのか、少し掘り下げて考えてみる必要がありそうです。このような事件に至る構成要素としては、

@誰でも手軽に利用できる、インターネット上の情報交換・保管のサービスがある
Aそのようなサービスを、業務で利用する必要や、利用に向かわせる誘因が組織内にある
B利用に際して、情報の保護や開示範囲について確認する意識や知識の欠如がある

の3つがあると考えられます。

以下、各要素について少し考察してみたいと思います。

【@誰でも手軽に利用できる、インターネット上の情報交換・保管のサービスがある】について

インターネット上のこの種のサービスは、個人向けと組織向けがあり、個人向けサービスの多くは無料で利用できるようになっています。無料であるのは、広告との連動や統計データの外部販売等、別に収益源があるケースと、有償サービスへの呼び水として無償サービスオプションが提供されるケース(フリーミアムと呼ばれる)があります。個人向けサービスの多くは、特に無償サービスでは、いかに多くの人に参加してもらえるか、参加者の利便を最大にできるか、に主眼が置かれるために、当初設定では制限をできるだけ少なくし、必要に応じて制限をかけられる設計にしているサービスが多いようです。

個人が本人や友人に関わる情報の範囲で利用する限りでは、あまり問題は生じないでしょう。(それでも一部、プライバシーにかかわる情報が意図せず流れて問題になることがあります。)しかし、同じサービスを企業等の組織が利用する場合には、おのずと情報保護に関する要件が変わり、個人向けに設計されたサービスでは、情報が十分に保護されない問題があります。そこで多くのサービスでは、企業・組織向けに、情報セキュリティ対策を充実させたサービスを用意しているわけです。

が、個人としての利用経験をそのまま持ち込んで、その延長線上で組織での利用を考える発想が、こういった問題を引き起こします。


3. 外部サービスの利用に向かう自組織の環境事情  ―情報漏えい対策としての利用制限がもたらす不都合―

【Aそのようなサービスを、業務で利用する必要や、利用に向かわせる誘因が組織内にある】について  

次に、ではなぜ、組織の仕事をする上で、そのようなサービスを安易に使ってしまうのか、を分析しなくてはなりません。一言でいえば、組織が認めるサービスや情報交換の方式が、実務上(現場)のニーズを十分に満たすものになっていない、あるいはそれを妨げるような仕組みになっている、という問題があるということです。つまり個人向けの緩いサービスの使い勝手が良くて、それを利用するほうが業務効率が上がったり、他の方法では十分に業務を遂行できないと感じさせる要素が、組織のITとその管理の中に潜んでいるという問題に注目する必要があります。

 具体的には以下のような規制がある組織が多いのではないでしょうか。

1)組織のメール環境に、組織の外のネットワーク環境からアクセスできない。従って、特に出張中や、休日に対応が必要な場合等は、別のメールシステム(個人のメールアカウントやGoogle等のサービス等)を使わざるを得ない
2)組織内のメール環境から外部にファイル送信するのに承認手続きが煩雑である、あるいはメールへのファイル添付が禁止されている
3)組織外のメールアドレスに同報する際の同報数が制限されており、多人数での情報共有や意思疎通を阻害している
4)メール1通当たりの容量に、発信側または受信側で制限がかけられており、メール添付によるファイル送付や交換が困難な場合がある
5)外部のストレージサービスや、ファイル共有サービスへの組織内ネットワークからのアクセスが禁止もしくは制限されている

近年、情報漏えい事故の防止の観点から、「とにかく出口をふさぐ」発想でこのような規制がかけられる企業が増加していると見られます。政府機関においてどのようなコントロールがされているかは確認できません。しかし、例えば環境省のケースでは、条約交渉に出かけた先の外国で、出張者間で打合せできる場所が、ホテルと交渉会場ぐらいしかない環境で、何らかのすぐに使えるネットワーク上のサービスを利用したい、という状況が想像され、そのような状況や発想は、ある意味とてもよく理解できるものです。


このような規制の背後にある考え方は、以下のようなことではないでしょうか。

◎情報漏えいをとにかく起こさないように、出ていく口は徹底して塞ぐ
◎万一誤送信などのミスにより漏えいが起きてしまっても、その規模や範囲をできるだけ小さくすることでダメージを抑える
◎制限をきつくすることで業務に支障が出ることに対しては、個別に申請して上司や情報システム部門の承認を得ることで回避できるようにしておけば問題はない

 

これは100%管理部門の発想ですね。コンプライアンスをつかさどる部署は、「違反はゼロでなければならない」ことが至上命題なので、すべてを塞いだ上で、個別手続きによる穴をあける発想になります。しかし、そのための手順やプロセスは、ITによるサービスのスピード感や、ITで実現できる効率性の感覚と相容れません。スマホの利便性になじんだ感性は、多段階の承認プロセス、それも場合によっては紙による、という感覚は、ほとんど受け入れられないのです。


4.ITリテラシが不足した個人感覚の延長線にいる組織の従業者の問題

【B利用に際して、情報の保護や開示範囲について確認する意識や知識の欠如がある】について

問題の本質の一つは、「現場の普通の人たち」です。利便性については個人的経験も手伝って情報が豊富だけれど、そこで扱う情報を適切に保護するということにまで思いが至らないという点です。インターネットの仕組みについて余り知識を持っていない一般ユーザの場合には、ネット上に置かれた情報がどういう状態にあるか、全く考えないかもしれません。ネットワークに置かれた情報は、条件さえ整えば、世界中のだれでもアクセスが可能になるのです。「条件さえ整えば」というのは、明示的・意図的にネットワーク経由のアクセスを制限しなければ、ということです。

そして、それを自分で設定しなければいけないとか、放っておけばスイッチはオープンの側に倒れる、探す意思とスキルを持っている第三者は容易に目的とする情報にたどり着ける、ということを全く理解していないことが問題になります。インターネットに直結する携帯電話(特にスマートフォン)の普及とその性能および通信環境の飛躍的発展は、あらゆる場を(例え物理的に外部と隔離されていても)外の離れた場所(人)とつないでしまいます。(大学入試における携帯電話によるカンニング事件は、まさにそのような状況が可能にした事例でした。)消費者にどんどん押し寄せる「便利」が、知らないうちに組織や業務に裏口、落とし穴を作っている、という状況にある訳です。

組織は、その従業者が無邪気に情報通信環境を使うことに潜む危険を、もっと理解し、そのことに対する従業者教育を徹底させなければなりません。そしてそれ以前に、そのようなコンシューマ環境に頼らなくても効率よく業務をこなせるIT・ネットワーク環境を整えなければなりません。


5. ITの価値を正しく認識できず、ITを戦略的に活用できない日本の組織の体質の問題

個人の感覚だけの問題でなく、ITの本質を経営に生かし切れていないという問題もあります。ITを戦略手段と位置付けて産業の効率を勝ち取ったアメリカ経済に比べて、日本はITを業務手段以上に評価できていないという指摘は、すでに多く聞かれる処です。図は、日米の経済成長率に貢献する要素を分解して示したものですが、アメリカの成長に「情報資本」が大きく寄与していることを示しています。(出典:総務省プレゼン資料より)

経済成長率へのIT産業の貢献 USA経済成長率へのIT産業の貢献 日本
凡例

つまり日本の組織では、ITを生かす、そのためにどう使いこなすか、という発想が弱いと言えるのではないでしょうか。ここから変えて行かないと、現場は使い勝手に走り、管理部門は「禁止」「制限」に走り、そのはざまで今回のようなインシデントが起きてしまう、ということは繰り返されると思われます。


6. 現場の使い勝手に配慮した情報漏えい対策の考え方とは

情報は使い、活かし、共有することで価値を生みます。そのための手段は多様に、使い勝手の良いものにすべきです。ITは日々進化し、インターネット上のサービスはますます多様化し、便利になっています。それを適正に使いこなす環境を整えることは、IT部門の任務です。しかし、日本の多くの組織における現状は、情報の流出・漏洩を恐れて、便利な道具やサービスの利用の口を塞ぐことに意識が向いています。

確かに、情報を扱う様々な機能を活用することは、その情報に接する潜在的な機会と人を増やすことになります。従い、各機能に対応した情報インシデントのリスクを評価し、インシデントの発生を予防する措置を講じた上で使う必要があります。このことをきちんと把握し、使い方のルールを整えた上で利用を許可する、あるいは組織内にサービスを提供することも、IT部門・システム部門の責務ではないでしょうか。

それを怠ると、コンシューマ経験で得た知識を「善意で」活用して「勝手に」外部サービスを利用する現場の動きが出てきてしまうのです。この夏の政府機関における発覚事例を見ても、それを防ぐことは至難です。奔放な水流が、流れやすい隙間を求める結果穴が開く前に、水を通すための適切な水路を用意すべきなのです。

政府機関における対応としてNISCから公表された内容は、7月11日段階では「民間企業の提供する約款によるグループメールサービスを、機密情報を扱う業務に利用することのないよう、各府省庁の情報セキュリティポリシーを職員に徹底すること」と、ひたすら穴は塞ぐ発想でしたが、7月30日のCISO連絡会議では、府省における体制の強化や教育の徹底に加え、「業務情報の安全かつ円滑なやり取りを確保すべく、各省庁で共用できるグループメールサービス等を政府で構築することを早急に検討」するということで、塞ぐだけでなく必要なサービス・手段は講じていく発想に変化しています。これが実現しなければ意味はありませんが、考え方は健全な方向に向いているようです。

民間の組織では、政府機関のように自前でサービスを構築するのは非現実的かもしれません。外部サービスや、様々な情報漏えい防止対策ツールを活用して、例えば以下のようなことを考え、適宜に環境を整えるべきではないでしょうか。

(1)ファイルはすべてファイルサーバに集中し、自動的に暗号化を施す
(2)シンクライアント、クライアント仮想化等、端末にデータを残せない環境を整備する
  ・USBメモリ等の外部記憶媒体に関するコントロールも組み合わせると効果的
(3)自組織外のネットワークへのファイルのアップロードはフィルタリングする
  ・全面禁止+個別許可も一手段だが、キーワード検索で止める方法もある
(4)特定のアップロードサイトを容認し、その利用や設定を情報システム部門が適正に管理する
  ・ファイル交換・共有サービスも多くあり、自組織にあったものを活用する
(5)グループサイトやコラボレーションサイトの有償サービスを導入する
  ・有償サービスによるきめ細かい情報管理機能を、正しく設定して活用する
  ・有償契約により、ユーザ管理機能(アドミン権限)を活用したり、サービス提供者の管理責任を規定することも可能

まとめ

今回の「事件」における「直接の」問題点は、アクセス権(その情報を見ることができる人の範囲)管理の不備でした。このアクセス権管理こそが、ITを活用しつつ、情報の不必要な拡散や、意図しない流出・漏洩を防止する鍵となる管理策です。それは組織内システムでも全く同じで、アクセス権管理を適切に組み込まないシステムも、アクセス権を適正に管理しない情報システム部門も存在しないはずですが、外部サービスを現場が勝手に使ってしまう場合には、そこに思いが至らない可能性が強くあります。本来、そのような外部サービスを勝手に使う必要が生じる以前に、組織の管理下でITの恩恵を十分かつ柔軟に活用できる環境を整えなければならないのです。

今回の事件は、日本の組織の多くで、経営にとってのITの戦略的価値を正しく評価・認識できないために、守りの管理しかできない情報システム部門しか持てない実態の一端が、まさしく露呈した事件だと、認識する必要があると考えます。その認識を踏まえ、ITとインターネットサービスの進化の恩恵を、現場も享受でき、組織もその効果を生かすと同時に、情報の保護・管理も徹底できる、そのようなIT環境とセキュリティの管理・運営を目指すべきではないでしょうか。





« 「(6)ネット選挙運動解禁における不審メールのまとめ」へ   「(8)Windows XP サポート終了について考える」へ »