こんばんは。今回は福岡県で発生した情報漏洩事故に関して書いてみることにします。こちらは cybersecurity-jp.com からの記事です。

cybersecurity-jp.com

　他の記事も読んでみたのですが、どうもGoogle Drive の設定に問題があったのではないかと言われています。こちらは朝日新聞の記事からです。

digital.asahi.com

　URLさえ分かれば誰でも閲覧可能状態になっていたようです。このへんが大きな問題ではないでしょうか。「ファイル共有が困難だ」「ならば、外部サービスのGoogle Driveを使えばいいのではないか？」「お！使えるやん♪」みたいな流れで利用されていたのでしょう。（推測）

　しかし、制限をかけていなかった（あるいは、そこまで発想が及ばなかった）ために、ガバガバな状態で使用していたのでしょう。で、気づいたら情報漏洩…という最悪の展開だったということになります。

　これも典型的なシャドーITですよね。LGWAN周りをガチガチに縛って、実務においてかなり使い勝手の悪い代物になてしまった故の結果なのでしょう。

　今回の結果を受けて、朝日新聞の記事では「これからFAXや電話でやり取りする」と書かれていました。「先祖返りしてどうするんだ？」とツッコミを入れたくなります。

　「危ないからなんでもかんでも禁止」という考え方が最も害悪だと思います。「危ないから」で思考停止ていると、何も出来ませんし、生産性も大きく低下します。再発防止策は決して電話やFAXを使うことではないでしょう。電話でもFAXでも漏洩事故は起き得ます。今回のGoogle Driveでも個人向けのサービスを利用していた可能性はあります。そうではなく、きちんと法人向けサービスを契約して、適切なアクセス権が管理できるような環境を整えて運用することが大事だと考えます。

　そういう方向に発想を切り替えてほしいものです。＞福岡県