練馬のみなさまへ 協業のお願い!

ジャガー横田の夫のブログから学ぶセキュリティ問題の根源

セキュリティ系記事キャッチ画像

ジャガー横田の夫・木下博勝さんのブログから考えるセキュリティ問題

2019年3月24日に更新された医師・タレントの木下博勝さんのブログが物議を醸しています。
ブログのタイトルは『新元号は、「永光」で決まり?』というもので、「未確認情報」と断りをいれながらも平成の次の元号が「永光」に決まったという記事が掲載されました。
タレントの方が独自情報を持っていると「この人はいろんな人脈を持っていてすごいな」という話になりそうですが、今回の一件はそのような穏やかな話になりそうにありません。
新元号と言えば現在日本が各方面から有識者を招いて極秘裏に検討・決定を進めている国家プロジェクトであり、情報漏洩対策も徹底され、2019年4月1日の正式公開より前に情報が漏れた場合は差し替えるとまで報じられていました(参考:新元号、情報管理を徹底へ 漏洩なら差し替え  :日本経済新聞)。
そのような体制のもとで公表された新元号は今後も日本の情報管理を考える題材となりそうです。

セキュリティのほころびは認識の甘さ

今回の一件、情報漏洩ではなく、木下さんのフェイクニュース(虚偽報道)、つまり木下さんの妄想だったということもありえなくはないのですが、そんなことを掘り下げても仕方がないので、情報漏洩のことを考えていきます。
情報処理推進機構(IPA)が報告しているように、情報漏洩のようなセキュリティ問題が発生した場合、ハッカーなどの外部からの攻撃よりも、現従業員や元従業員が原因であることが多いのが現状です(参考:組織における内部不正対策 – IPA)。それも「うっかり」という認識の甘さがセキュリティ問題の原因となっています。
今回の一件も、木下さんに「ここだけの話」ということで新元号をうっかり漏らしてしまった政府の高官がいたのかもしれません。

本当に必要な人だけが情報を閲覧できるようにする

どれだけ道具をしばっても最後は人の気持ち次第で情報は漏れてしまいます
情報漏洩対策で最も効果的なのは、そもそも情報を開示しないことです
これは会社の経営情報や顧客情報も同様で、会社の経営者や部長クラスの人が閲覧できる情報と新卒1年目の社員がアクセスできる情報が等しくある必要は全くありません。また、部長であっても他部署で扱っている個人情報にアクセスできる権限がある必要もありません。
自社で取り扱っている各情報は自社の誰が必要なのかを考え、必要のない人が情報を触れるようにしないことが大切です。
今回の一件も、これから木下さんに対して「どこから情報を得たのか」という追及が始まるものと思われますが、情報漏洩の下手人が分かったのであれば、その人を断罪するだけでなく、今回の新元号のプロジェクトマネージャーは「そもそもその人は必要だったのか」を確認し、今回のプロジェクトの重要性を認識しないメンバーを含めていなかったかを問い直す必要があると言えましょう。

Webの影響力を甘くみない

元・女子プロレスラーであるジャガー横田さんを妻にもつ木下さんのブログには2019年3月25日時点で11,227人のフォロワーがおり、その影響力は小さくないものです。
今回の問題がフェイクニュースでないのであれば、木下さんに新元号を漏らしてしまった人物が一番の問題ですが、それをブログで発信してしまった木下さんにも非があるのは明かです。
どんな些細な情報でも「それは正しい情報なのか」「人を惑わせないか」「法律・規則を破っていないか」を考えて、発信することが大切です。

参考