「ウイルスで情報流出被害」とありますが、被害者側の落ち度は?
こんばんは。昨日の基本情報技術者試験・情報セキュリティマネジメント試験合格発表を受けて、統計情報が公表されているようです。まだ読めてないんですが、じっくり読み込んでから記事を書いてみたいと思います。
さて、今日のネタはこちらです。読売新聞の記事からです。少し前にあったセキュリティ会社の社員がウイルスを保管していたことで逮捕された事件がありました。
基本的には、この社員と会社が適切な対策を取らずにウイルス保管をしていたのはいかがなものか?というような話が中心になっています。
この記事を読み直してみると…
確かに、この社員と会社側のウイルス管理がまともに出来ていなかったという話ではあるのですが、よく読んでみると「????」と思うような内容が書かれていました。
この記事には「勤務先PC故障でshare入り私物PCを会社に持ち込んで使っていて、ウイルス感染した」とう大阪市の男性の被害状況について言及されています。
ちょっと待って下さいよ~!(東野幸治氏の声で)
DIT側のウイルス管理の問題は多いです。うっかり見落としそうになりましたが、この大阪市の男性の行為も問題が多いんじゃないでしょうか。
ここでのポイントは以下の通りです。
- 会社は職務利用PCの代替品を貸与しなかったのか?
- この会社は私物PCの無条件持ち込みを許可しているのか?
- 持ち込む私物PCのshareをアンインストールしなかったのか?
- 会社NWでshareなどのP2P通信を禁止していないのか?
- この会社での情報セキュリティ教育はどうなっているのか???
1.ですが、「会社のPCが使えなくなった」とありました。予備をあてがうということは出来なかったのでしょうか。仕事には必要な機器ですから、故障した場合どうするかは普段から考えておく必要はありそうです。
2.ですが、BYODにより私物PCやスマホ・タブレットの持ち込みを許可しているケースはあります。しかし、無条件に職場内NWに接続していいというフリーダムなポリシーは考えにくいです。何らかの制限は加えているケースが大半だろうと思います。
私物PCはコントロールしにくいということもありますので、これがセキュリティ面的に問題を引き起こすこともあります。
3.ですが、これが最も信じられなかったです。WinnyやshareなどのP2Pソフトをインストールした状態で職場で使おうというセキュリティ意識の低さに思わず目を疑いました。自宅でやる分には自己責任でやってくれで済むんですが、職場にP2Pソフトをインストールした状態で持ち込むのは酷いなと思いました。
4.ですが、普通禁止してませんか???ファイアウォールなりルータなりでフィルタリングしているはずなのではないでしょうか。まさかの素通り???
特定ポートを閉じればおしまいというわけではないので、L4までしか見ない一般的なファイアウォールでは対処出来ません。アプリケーションを判別するL7まで見るタイプでないとフィルタリング出来ないので、このへんをどう考えていたのでしょうか???
なので、5.は出来ていないんじゃないかと推察しています。ウイルスを保管している会社が悪いという点を書きたいのは分かりますが、今回のケースに関しては、被害を受けた側に問題はなかったのかという点が気になります。