News & Event

ニュース・イベントNews & Events

[月刊総務オンライン]第12回 国交省に見る、どの会社でも起こりうる情報漏えい

みなさん、こんにちは。「GIGAPOD(ギガポッド)」というオンラインストレージのベンダーでもある「トライポッドワークス」でマーケティングアドバイザーをしている吉政(よしまさ)と申します。

先日、環境省、復興庁、農林水産省、国土交通省、厚生労働省における、Googleグループ利用による、条例交渉の内容など、普段は表に出ない情報が漏えいされたことがニュースにも出ました。
情報漏えいの原因はGoogleグループの初期設定が、すべての情報がインターネット上に公開されるようになっていたことを知らず、初期設定のまま、重要な情報をGoogleグループ上でメールしたり、ファイル共有をしたりしたため、情報漏えいとなりました。

中央省庁の職員がこの初期設定を知らなかったことが問題なのかもしれませんが、私としては、中央省庁の職員が業務で海外のサーバーを使用していることのほうが驚きます。情報システムに明るい人であれば、また管理者権限を持つ人間であれば、そのサーバーの内部は全て閲覧できます。

もし、Googleが定期的に機密に関するキーワードでサーバーをチェックして、その内容を閲覧していたり、米国政府に提供していたらどうでしょうか? 米国には愛国者法(通称:パトリオット法)があり、政府の指示で情報を開示しなければいけないこともありますし、意図的に個人が情報提供することもあると思います。個人の情報ならいざ知らず、組織の情報を海外のサービスに預けるなんて、私はちょっと考えられません。

企業がビジネスでオンラインストレージやSNSなど情報やファイルを共有する場合、サーバーを自社で所有するか、サービス会社ときちんと機密保持契約を結び、セキュアに管理がされているかをチェックしてから使用するべきと思います。そうでないと、いつ全てを見られてもまったくおかしくありません。

弊社のGIGAPODなどの自社内のセキュリティ監視下で所有できオンラインストレージも価格的にそれほど高いものではないので、情報漏えいのリスクと比べて、どちらがよいか是非考えてみてください。

一般的な話になりますが、フリーのサービスはログ管理機能がないことがほとんどです。いつだれが、どのファイルを操作したかの履歴が3年や5年管理できないと、一般的な企業のコンプライアンスはクリアできないはずです。

皆様も一度、社内のオンラインストレージやSNSのフリー・サービスの利用調査をされてはいかがでしょうか?社内で同様のビジネス環境を用意していない企業は、ほぼ100%フリーのサービスを利用されていると思いますよ。
特に営業の方が使う提案書やお見積書はそのケースが多いと思います。提案書やお見積書にはお客様の情報が含まれているので、漏えいされれば、その企業の信頼が落ちるのは間違いないと思います。

今回は情報漏えいについて書きましたが、いかがでしょうか?システム管理者は全ての情報を見ることができるため、情報漏えいの契約を結んだサービスでないと利用するのが怖いということをご理解いただければ、幸いです。

それでは、今日はこの辺で失礼いたします。

※本記事は月刊総務オンラインより転載しています。