検索
特集/連載

Winnyウイルスが企業に与える被害と対策の現状Winnyウイルスから機密情報を守れ!【第2回】

 顧客情報などに代表される企業の機密情報の流出は、Winnyウイルスの登場以前から発生している。では、実際に個人情報が流出してしまった場合、企業はどのようなダメージを受けるのかを検証してみよう。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 Winnyウイルスの感染を原因とする情報流出事件が後を絶たず、毎日のようにニュースになっている。また、Winnyウイルス自体の亜種も次々と登場し、感染したときの影響範囲も拡大傾向にある。さらに、Winnyそのものにバッファオーバーフローの脆弱性が発見されるなど、この脆弱性を狙うウイルスが登場したら、大規模な被害が発生する可能性がある。

 Winnyによる通信を規制しようとしたISPに、総務省が「通信の秘密の侵害に抵触する可能性がある」として待ったをかけるなど、有効な対策法が確立していない現在、企業は自分で身を守らなければならない。Winnyによる情報流出は、従来の攻撃やワームが原因の情報流出とは異なり被害規模は小さめだ。しかしWinnyが原因となると、あまりよいイメージは持たれない。そこで今回は、実際に情報流出が発生してしまった場合、企業はどの程度のダメージを受けるものなのか、「金額的な部分」から検証を行ってみよう。

情報流出による企業のダメージとは?

 顧客情報などが流出してしまった場合、企業はどのようなダメージを受けるのだろうか。その内容を検証してみよう。情報流出が確認された場合、まず企業が行わなければならないのは、流出の規模と原因の特定、それに流出の拡大を食い止めることだ。従来のような外部からの攻撃による流出であれば、ネットワークの遮断やシステムのチェック、セキュリティホールの修正などの作業が必要だったが、Winnyウイルス感染が原因の場合は、これらの作業は発生しない。しかし、事後処理においては従来のケースとほとんど変わらない作業が必要となる。

 情報流出が発生した場合の対処方法は、現在のところ公的な規定があるわけではない。ここ最近の情報流出事件を見ても、ホームページの片隅に告知を載せるだけという企業もあれば、大々的に発表して、顧客1人1人にお詫びを行う企業もあり、その対処方法はまちまちだ。Winnyウイルスによる情報流出という状況を意識して、発表そのものを行わない企業もある。もちろん、流出した情報の内容によって対応が異なるのは当然のことだが、対処法によって企業のイメージアップにつながることもある。

 つまり、情報流出は企業にとって不祥事であり、しかもWinnyがからんでいるとなると、あまりよいイメージは持たれない。イメージの悪化は信用の失墜に発展し、業績の悪化へと悪循環する。しかし、しっかりとした対処を行うことで、かえってよい印象を与えることも多いのだ。流出してしまったファイルは取り返せないが、顧客の信頼は取り戻せるのである。

 では、情報流出が発生した際に企業が受けるダメージはどのくらいになるのか、金額面で見てみよう。企業が負う金額的な負担には、機会損失、賠償費用、技術的に対応するための費用、営業的に対応するための費用の大きく4種類がある。機会損失は、情報流出によって企業が営業自粛した場合に発生する損失額のこと。Winnyウイルスが原因の場合は営業自粛に至る可能性は少ないが、顧客が他社のサービスなどに流出する可能性は大きい。この金額は流出した情報の内容や件数によって変わってくるが、500万件近い情報が流出したインターネットサービス会社のA社の場合で25億円、70万件近い情報が流出した通販会社のB社では、営業自粛を行ったこともあり150億円という数字が出ている。

photo
photo

 賠償費用は、情報が流出した顧客に支払われる費用のことで、情報流出に該当する顧客に対して送付する「お詫び状」などもこれに含まれる。また、場合によっては損害賠償を請求されるケースもあり、この費用も賠償費用になる。1995年に宇治市の住民基本台帳データが流出した際には、1人あたり1万円の賠償金と5千円の弁護士費用などを合わせた1万5千円を支払う判決が下されている。流出した個人情報の内容によって上下することはあるが、ある程度の指針になるだろう。1千件であれば1,500万円ということだ。前述の2つのケースでは、A社の賠償費用は40億円、B社は流出した情報が古いものだったこともあり賠償は行っていない。

 技術的に対応するための費用は、不正アクセスなどが行われたセキュリティホールを修正したり、システムの復旧、再構築などにかかる費用のこと。Winnyウイルスが原因の場合は直接関係することは少ないが、Winnyに対応したセキュリティソリューションなどを導入する費用などが、これに当たるだろう。

 営業的に対応するための費用は、企業の対処方法によって差が出る部分だ。この費用は顧客対応とそのほかの営業的対応に分けることができる。顧客対応は文字通り顧客からの問い合わせなどに対応するための費用のことで、専用の電話番号を用意したり、専門のスタッフを配置してコールセンターを設置する費用などが含まれる。また、そのほかの営業的対応には、企業のサイトにお詫びや説明を行う専用のページを用意するといった費用が含まれる。新聞に告知を掲載する場合の費用もこれにあたる。

 コールセンターを設置する場合、単純に人件費だけでも1日1人あたり5万円前後の計算となる。10人体制で20日間設置すれば、人件費だけでも1千万円かかるわけだ。また、新聞にお詫び広告を掲載する場合、1面に3段×1/6(1枠)を1回掲載すると177万円かかる(某大手新聞の場合)。仮に、非常に乱暴な計算ではあるが、Winnyウイルス感染が原因で1千件の顧客情報が流出し、自粛は行わず3人体制のコールセンターを1週間設置し、新聞にお詫びを2日間掲載した場合、概算で1,800万円の費用がかかるわけだ。実際にはこのほかに技術的対応費用が加わることになる。Winny対策がいかに重要かがわかる数字だ。

photo

セキュリティポリシーに万一の対応を追加

 Winnyウイルス感染による情報流出を未然に防ぐために必要なルールが「セキュリティポリシー」だ。セキュリティポリシーは、企業のセキュリティに関する姿勢を表したもので、社外に対しても広く公開されているもの。しかし、セキュリティポリシーに一般的に書かれているのは「姿勢」であり、具体的なセキュリティ施策までは書かれていない。Winnyウイルス感染が原因で情報流出が起こらないよう、また万一起こってしまった場合に万全の対策が取れるようにセキュリティポリシーを策定する必要がある。

 具体的には、情報流出させないための対策と情報流出が発生してしまった場合の対処法を策定することが必要だ。前者では、業務上必要がない限りWinnyをインストールしないことが大前提となる。Winnyウイルスの進化が加速している現在、たとえ起動しなくてもWinnyがインストールされていることがリスクになり得るからだ。また、業務上のファイルを自宅に持ち帰らないことも重要だ。どうしても持ち帰る必要がある場合には、セキュリティ機能があるUSBフラッシュメモリなどに入れ、個人用のPCにファイルを移さないといったルールを決める。そして、ルールを守らなかった場合の罰則規定も必要だ。

 後者では、情報流出が確認されたときには誰が対応するのか、社内で対策チームを作るのかどうか、チームを作る場合はどの部署の誰が参加するのかといったことを決めておく必要がある。上層部との連絡方法なども決めておいたほう方がよいだろう。そして、担当者あるいは対策チームは何をするのか、流出の規模と原因の特定、流出拡大の防止をどのように調べ把握し、対策を行っていくのか、外部との連絡や発表はどうするのかといったことまで詳細に決めておく。流出した情報の規模や内容によって対処方法も変わってくるので、複数の対処法を用意しておいた方がよい。

 Winny対策を盛り込んだセキュリティポリシーを策定している企業は増えてきており、策定のためのアドバイスを行うサービスや、ハードウェア、ソフトウェアによる対策法も数多く登場してきた。実際のサービスや製品の紹介は第4回で行う予定だが、ここではセキュリティポリシーにWinny対策として盛り込まれた項目を個条書きで紹介しよう。

  • 社内のPCにおいて、Winnyに代表されるファイル交換ソフトウェアや、危険とされるソフトウェアの使用およびインストールの禁止
  • 社内で使用しているPCの社外への持ち出しの禁止
  • 自宅における業務の禁止
  • 自宅にある個人用PC内の業務ファイルの削除

 この企業では社内向けのセキュリティポリシーとしてこれらの項目を追加したが、この会社1社だけでなく、関連企業や業務委託を行う会社、さらに休職者や退職者にまで徹底してもらうことが望ましい。特にWinnyウイルス感染による情報流出では、退職者や業務委託先、派遣社員などの個人用PCが流出元であるケースが非常に多い。広い範囲で対策を行う必要があるのだ。

 次回は、Winnyウイルスにはどのように進化していく可能性があるのか、P2Pファイル共有ソフトの仕組みと合わせて潜在的な危険を紹介する。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る