こんばんは。ここ数日はパスワード変更頻度やPOP3とIMAPの違いの理解のようなユーザサイドのお話が中心になっています。今回もこの流れで進めて行きます。（医療情報技師試験対策のブログについては明日以降に書いてみます）

　様々な組織での情報漏洩事件が発生し、報道される度に「うちには盗まれて困るような情報はないから大丈夫」とおっしゃる方々が過去におられました。個人情報保護法施行前の話だったりしますが。(^^;;御自身では職場で扱っている情報の重要性を理解しておられないのだろうという印象を受けます。昨今では顧客情報が漏れることでとんでもない騒ぎになります。その会社の大きなダメージにもつながります。さすがにこの御時世、そこまで鈍感な方はおられないとは思います。

　このあたりの発想も「鉄壁のFW幻想」がまかり通っていた頃とシンクロするかもしれません。いつぞや甘利氏が「FWがあるから大丈夫」と官僚の書いたコメントを読んで「おいおい」と突っ込まれたことがありました。官僚的には「FWで全ての攻撃を弾き返すことが出来る」という幻想があったのでしょう。

　ですので、FWがあることで安心しきってしまい、FWの内側にある情報の価値について真剣に考えることがなかったのだろうと思います。そして、「情報が漏れる」ということに対して、「外部から攻撃される」という直接的な考え方になっているケースが多いようです。

　仮に不正アクセスされたとしても、情報が漏洩しなければ一安心かというと、そうではないはずです。「情報漏洩の事実は見られませんでした」という風なコメントがなされていても、あくまで「その事実が確認されていない」だけであって、漏れてない保証にはならない点に注意が必要です。（どこかそういうことを連想させる組織もあったような…。）

　「盗まれて困るような情報はないから安心。実際盗まれてなかったし。」本当に安心なのでしょうか？

　単に不正アクセスされただけで済んでいるのでしょうか？社内のサーバやPCが踏み台にされて全く関係ない第三者の組織の攻撃に加担しているかもしれません。こうなったら被害者面は許されません。加害者としての側面も浮かび上がってきます。

　ここで重要なのは、「盗まれて困るような情報はない」ということではなくて、「情報が漏洩したという事実が問題になる」ということです。 そのためにも、攻撃は全て防ぎきれないことを前提に、如何にして漏れ出さないように出来るかをきちんと考えておく必要があります。これは決して情報システム部に任せきりでいい代物ではなく、ユーザ自身でも身の回りの出来ることについて十分目を光らせておくことと問題意識を持って臨むことが必要ではないでしょうか。