Crisis&Intelligence Rev.

アクセスカウンタ

zoom RSS Winny騒動の教訓に学ぶ

<<   作成日時 : 2006/08/15 15:37   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

国防情報の外部流失遮断に決め手はあるのか?
−最近のWinny騒動がもたらした教訓に学ぶ−
ペンネーム 近道正進
序: 巷間、企業を中心とした内部情報、特に個人情報の外部への大量流失は後を絶たず、連日のごとくその対応に決め手を欠いたまま推移している現状である。とりわけ、昨年末以降の防衛庁関連のいわゆる「Winny」がらみの国防情報流失は、近年にない事案として深刻な後遺症を残し、今なおその完全対策の決め手にたどり着いていないのが実態のようである。
  本稿では、その騒動の背景とそれがもたらした本質的な影響を分析し、事後対策を含む対応に係る各種措置の有効性を検討し、今後の抜本的対策の指針とすべき事項を総合的な観点から提示してみたい。

Winny騒動の背景:
世界一の日本産P2P(ピア・ツー・ピア)ソフトとして開発された直後のWinnyは、いわばコミットメントなき貢献を実装したシステムとして流通し始めたばかりであり、現在開発関係者が刑事訴追を受け係争中でもある。今次の騒動の結果明らかになった本ソフト出現の背景要因は、次の諸点であるといわれている。
(1) 媒体に依存しないコンテンツ流通のためのネットワーク環境が急速に普及拡大した。
(2) コモンズの悲劇(社会学上の用語、「無尽蔵の資源を利己的振舞いで消費すれば知らぬ間に枯渇する」)からの脱却の罠に嵌り、無意識のうちに悪事に加担してしまった。
(3) ファイル共有ソフトの本来特性から、Winny ネットワーク形成に伴い無意識の協調関係が成立した。
(4) 当初段階では、情報流失の拡大を助長するAntinnyウイルス等の功罪が余り知られていなかった。

交換型から共有型へのパラダイムシフト:
 今次の騒動の多くの場面で、Winnyを「ファイル交換ソフト」と誤訳されているが、正しい用語としては「ファイル共有ソフト」であることに注意する必要がある。このソフトは、本来次のような特徴を有することを認識しなければ、再発防止への解決策にはたどり着けない。
(1) コモンズの悲劇を解決するため、「キャッシュ」の仕組みを媒介することにより、コンテンツを第3者へ自動アップロードすることが実現した。
(2) ひとたびWinnyユーザとなったら、 無意識のうちに第3者がダウンロードする際のコンテンツを自らプールする役目を担うこととなり、知らぬ間に 「分散したストレージ(コンテンツファイルの共有地)」の構築に加担する結果となった。
(3) Antinny ウイルス(ワーム)等、凶暴性を有する多くのウイルスが、構成されたWinny User Network上の補強役として活躍し、際限なくコンテンツの公開拡散を助長した。

流失した主な国防情報例:
全貌は未だ明らかとはなっていないが、現在までに判明しつつあるものは次のとおりであり、今後増大する可能性がある。流出分については、既に秘密区分の指定解除等所要の措置がとられていると公表されているが、日米共同関連にかかわる部分等細部にわたり、今後とも継続的な対応が不可欠と考えられる。
(1) 対潜水艦作戦用システム開発用の機密データ
(2) 陸自戦闘能力、戦力評価手順とドリルパッケージ
(3) 海自用シールートマップ、換字表、コールサイン表
(4) 空自用基地警備要領、隊員緊急連絡網、コールサイン(個人情報)
(5) 03海上自衛隊演習シナリオ、作戦計画、日米間通信・暗号文書、移動通信周波数、通信カバレッジ図等の一部
(6) 自衛隊中央病院個人情報(身体・健康能力の人的戦力情報)

これまでにとられた主な対策:
国会質疑において以下の点が明らかにされたが、その後鋭意対策継続中とされている。
(1) 部隊の情報区画への隊員の入隊室管理強化、電子メディア・私物PC持込の禁止措置
(2) 私物記憶メディア、バックアップ機材の持込・保有・規定外使用、持出制限、禁止
(3) Winnyソフトのインストール禁止、現場PCの自己申告調査、私物含め全数個別調査
(4) 違反者に対する処分基準の明確化
(5) 個人私物PCの全面使用禁止、業務上の不足PC一括購入(Windows PC 約5万6000台)、ネットワーク・PCの抜打ち検査実施
(6) Winnyインストール禁止規定、削除処置、ウィルスソフトの完全インストール等(現場)
(7) 流失情報に対する秘密区分の変更、ドキュメント名称変更、文書廃棄措置等

学ぶべき教訓:
流失判明までに相当の時間がかかり、しかもその拡散範囲が膨大で内容によっては甚大な影響をもたらしかねない今次のWinny騒動は、個人情報保護法の全面施行後の一大事案でもあった。国防情報流失面から見た、今後教訓とすべき次項は次のとおり列挙され、それぞれに専門的な観点から、技術面、制度面、現場の運用管理面からの現実的かつ実際的な効果を検証できる対策が不可欠である。
(1) 組織全体の情報セキュリティー確保の原点に立ち返り、特に国防情報関連には平時の戦闘と同等のウェイトを、予算、訓練、監視、流失未然防止措置各面で徹底の必要がある。
(2) 国防情報の内容レベルと末端に至るまでの情報処理経路、手段、確認は、組織の階層にかかわらす、上層管理者から現場担当者まで一気通貫のマネジメントが最重視されねばならない。情報処理に内在する技術的リスクを組織として共通認識し、現場感覚を持って対処可能な素養と技量を、技術・運用管理方式の進展に遅れることなく習得する機会を設定するべきである。
(3) 国防情報の的確・確実処理のためには、諸外国の例を観るまでもなく、その大半を民生ソフトに依存する現状を一刻も早く脱却する以外に対応策は不可能に近い。
(4) 隊員個人が、部隊外において国防関連情報にかかわる業務を行う必要性を現に禁止するためには、勤務場所の設備等を抜本改善し、「李下に冠を正さず」の姿勢を明確にすることが先決である。(部下隊員への専門的業務処理の依存体質を廃し、不要不急の業務を徹底廃止するほか、組織内での相互の馴れ合い、甘えの体質からの脱却も必要である)
 (5) 個々の隊員教育の限界と国防情報処理の煩雑さを加味すれば、今後、Winnyにかかる情報流出トラブルをハード的に100%防止する新たなシステムの開発の可否についての検討も必要である。
収拾・対策の決め手はあるのか?:
 以上を総括し実現可能性を含め検討した若干の具体策検討のための指針を提示してみたい。
(1) そもそもPCに依存せざるをえない業務は如何ほどあるのか?
個々の隊員にとって、業務処理の形態、緊急性等は千差万別であろうが、PC等に依存せざるを得ない業務処理形態は、処理規模や緊急性あるいは特殊性から判断されねばなるまい。
特に、国防情報の処理区分は組織としての公的処理手順が厳格に規定され、遵守されることが前提であり、その過程に処理手段の適用を含め私的な要素が紛れ込む余地はない。
今回の騒動の発端は、多分にこうした業務処理の過程における公私混同から派生したものと推定され、ITツール普及に伴う公私の境界の不明確さを排除し、組織内における業務処理形態に適合した処理ルール適用の不明確さを完全に解消し自動監視化すべきであろう。
(2) ハード対策と意識改革のみが決め手となるのか?
情報漏洩を局限又は根絶するためのハードウェア対策と関係者の意識改革には、自ずから一定の限界があることは言を待たない。しからば、これらをカバーするための最後の決め手として、杓子定規に組織体全体及び情報処理関係者全てに対し、いわゆる性悪説の思想の導入について具体的な検討の必要性はないだろうか。
性善説の文化に馴染んだ大多数の隊員にとって、急激な変革は逆に業務処理の極端な混乱や停滞、関係者のストレス激増等への事前対策も考慮し、転換のタイミングを図らねばなるまいが、背に腹は代えられない場合も想定し組織としての一定の決断も必要であろう。
(3) 現状においての決め手となりうる対策とは?
今次のWinny騒動に限ったことではないが、今後の国防情報の外部漏洩を局限するための決め手としては、以下の点を重視しそれぞれの具体策を練上げ現実的に可能な部分から適用とすることが急務と考えられる。
・ 独自OS対応による「不正ウイルス対策+ネットワーク不正対策ソフト開発・実装」及びハード・ソフト一体化の環境による常時監視体制の確立
・ 組織内における業務運用管理の緩急区分に応じた処理体制確立のため、管理者の意識改革、厳正な教育訓練と専門の人材育成、部外エージェント設置・運用方式の導入
・ Winny関連情報漏洩対策ソフトの開発・実装準備と効果の検証

結: パソコンの普及と低価格化により、当然予想されたこととはいえ今次のWinny騒動は、国防情報の大量外部流失という前代未聞の深刻な事態が現実のものとなったことである。
  防衛庁という組織の中で、最新のIT機器により隊員個々は高度の秘密保全意識の下で厳正な業務処理に邁進していた矢先の不祥事で、部隊の末端で一部の隊員の無意識な行動が、自衛隊の上層部にまで及ぶ緊急の事後処置と、流失情報への多くの後ろ向き業務の増大をもたらしたことは、誠に残念の極みでもある。
  国の平和と安全を託されているはずの防衛庁に、たとえ末端の一部の部隊、一人の隊員の不注意や無知によって今次のような騒動が起こり、事後処理に迅速で的確な対応がなされにくい事態は、なんとしても避けなければならない。得られた各種の教訓は技術的にも、管理運用面からみてもほんの氷山の一角であるかもしれない。国防情報の管理は、最新の技術を駆使し鉄壁の保全体制によって維持されなければ、近代の情報戦を勝ち抜き国益を守るための国家防衛基盤が根底から崩れることとなる。今次の騒動を改めて振り返り、最善を尽くすための更なる決め手に挑戦を続ける心構えと決意が求められる。    以上

月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
Winny騒動の教訓に学ぶ Crisis&Intelligence Rev./BIGLOBEウェブリブログ
文字サイズ:       閉じる