P2P型情報漏洩対策研究会(仮称)の提案
Winny+Antinnyによる情報漏洩に関する対策について、前エントリーで個人的な考えを提案させていただきましたが、思いのほか反響があり、私自身も含めさらに深い問題の理解や意見交換の場が必要と感じました。
Winny+Antinnyによる情報漏洩がもたらす被害の現状は単に一つのアプリケーションに留まらず新しいタイプの情報セキュリティに対する脅威(本当は新しくもないですが)に対する対策の必要性を示しているという見方もできるかと思います。このような問題に対しては、技術的な対策だけでなく、運用面、法制面、組織管理の面、教育啓蒙、思想、倫理、経済など広い視点からの検討が必要と思われます。
ということでまずは興味のある有志でP2P型の情報漏洩問題(仮称)について情報交換、意見交換をするような場を持てたらなどと思ってみたのですが、興味をお持ちの方いらっしゃいますでしょうか?
できればユーザ、研究者、ISP、ベンダー、法律関係者、行政関係者などいろいろな立場の方に集まっていただいて、研究会自体は白紙から色のつかない自由な意見交換ができればと思っています。
日時・場所等もまったく未定ですがなるべく早く開催できればなあなどと考えています。参加(登録)は原則実名でお願いしたいと思います。また会場(大阪と東京?)もどなたかご提供いただければなどとあつかましいことを考えておりますが・・・。どうでしょうね。
ご意見ご提案などはコメントでもこのエントリーの右に記載されているメールアドレスにでも。
カテゴリー: 情報セキュリティ
P2Pインフラ研究会とかmixiのP2Pコミュニティの活動に便乗(何)するのがいいのではないかと勝手に思うのですが?
http://www.glocom.ac.jp/j/news/others/index.html#010224
http://muziyoshiz.jp/20060107.html
思うんですけど、ウイルスに感染するようなユーザーは、研究会に参加しないっていうか、この問題に関心がないのでは?
mmasudaさん、moltan1さんご提案ご忠告ありがとうございます。
P2Pインフラ研究会とかmixiのP2Pコミュニティの活動に便乗または協調も選択肢として考えたいと思います。まずは少し様子を見てみたいと思います。
「ウイルスに感染するようなユーザー」に参加してもらうことはあまり考えていませんでした。広い視点で問題の解決に関わる人たち、あるいは意見やアイデアをお持ちの方に参加いただければと思っています。
[せきゅ] P2P型情報漏洩対策研究会(仮称)の提案(たけださんち)
むー。おうち帰ったら挙手してみるかねと思ったけど現地集合型かあ。 とかいはとおいなあ・・・・ 執行部は仕方がないとしても、意見収集やら多少の議論は…
Winnyの利用が広まっている事と、作成者が逮捕されてセキュリティーホールが修正されないという問題は、恐らくもうどうしようもないので、打てる手としては
・イントラだったらWinnyが使えないようにネットワークインフラで抑える
・私用PCで業務をせざるを得ない状況を改める。
・教育活動。相手は「流出させかねない素人」なので、研修ビデオなどを作ると良いと思います。 IPA あたりで共通に使える教材を提供してくれるとありがたいですが。
* 流出させて人生を棒に振った最近の事例を幾つか紹介
* 個人・機密情報を持ち出してはならない事を教える
* 研修は、新しく来た人には随時、それ以外も全員、年に一度は必須で受けさせる。
* 違反した場合の罰則規定を設け、守ることを誓約させる。
あたりが必要かと思います。
実は自分も同じように注目していました。
まずはユーザの根本的な考え方から見直していく必要がある感じています。
ネット利用はしていても、いまだに何が危ないことなのか理解出来ている人はあまり多くないと思いますから。
問題定義のメインとして、自分は下記が最重要じゃないかと考えます。
・業務の効率性
→仕事を持ち帰ってやらなきゃいけない状況
・利用者の意識
→Winnyのようなソフトを業務データが入っているところで平気で使う
武田先生
高橋です
なにかおやくに立てるのであれば、お手伝いしますよ
ただ、今回の漏洩のケースがポイントは、P2Pだからなのか、私物等への情報記録からなのかはきちんとみるべきでないかなと思っています。
後者だからとすれば、これは、事件が起きないかぎりで、「データを自宅にもってかえって仕事をすることを企業等の活動として推奨する」(法的に反しても実際は良いこととして評価されてしまう)という文化の問題でしょうね。その文化が必然的にいろいろと事件を起こしてくれるということでしょう。
ここまでふくめてマネジメントの問題として、きちんと対処すべきというのが王道なのでしょう。(ただ、これは、王道すぎて、対処法といえるかどうか)
実名参加すると、会社名もわかっちゃうかも・・きびしいかも・・
覆面座談会じゃダメ?
この研究会の結果を、NISCに提示したらいいかも
「第1次情報セキュリティ基本計画」のパブコメ回答を見ると、官民連携でP2P情報漏えい対策するらしいから
http://www.bits.go.jp/active/kihon/resp_ki.html
(愚痴ですが)
一企業の立場では契約していない企業の情報漏えい発見しても通知できないし、個人のボランティアで対応すると逆切れされた時がコワイ・・
流出元の人は、気がつかない方が幸せなのかも・・と思うことがあります。
マスコミ報道や掲示板に出ていない流出を含めて1TB以上あるらしいので、私の対応量で推測すると数千ユーザの流出事故が発生しているかも・・
さらに、流出元が事故状況を把握するために、アップロード規制せずにダウンロード&転送に加担している可能性がありそう・・
企業や個人の流出データを監視&対処している人は、すべてのデータを見ないと関係データかどうか判断できないので、見たくない機密&個人データを見ることもあると思う。そして、そんなデータを見ていることを他人には言えないし、記憶から消すのも大変だったりする・・NISCさんもだよね(笑)
こんな仕事、永遠に続くのかしら・・
これ以上被害者を増やさないための、暫定?強行対処って無理なのかな?
以上、愚痴でした。すみません。
高橋先生、参加表明ありがとうございます。大変心強いです。何ができて何ができないかなど非常に興味深い議論になるかと思います。
タミさんにもぜひ体験に基づくご意見を伺いたいですね。
おそらく匿名参加可能な場と必要に応じそうでない場を作った方がよさそうですね。ちょっと考えさせてください。
武田さん、こんにちは。インターネット分野の取材をしておりますジャーナリストの佐々木俊尚です。いつも興味深く拝読させていただいております。AntinnyとWinnyについては過去、INTERNET watchや雑誌媒体などで何度も記事を書き、警告してきました。このような事態が続いているというのは悲しい限りですね……。もしお力になれるのであれば、ご協力したいと思います。
佐々木さん、こんにちは。こちらこそいつも興味深い記事を拝見させていただいています。ぜひともご協力いただければと思います。会合等今後の活動が具体化しましたらご連絡します。
私も機会があれば参加してみたいです。その際には宜しくお願いします。
余談ですが山田オルタナティブのような、ファイル交換ソフト+HTTPとかサービスを複合的に使う流出目的のウィルスを
考慮すると帯域縛りというよりは、企業への情報管理義務的なものを考慮していくのが最終的には良いのかもしれませんね。
一部の大手企業では管理職クラスによる2chの閲覧は認められていたり、推奨してる部分もあるので掲示板経由で感染してしまう可能性もありえます。HTTP経由の感染であれば掲示板だけでなくblogやSNSも媒体となりえますから。
ISPによるネットワーク制限は、方法によるとは思うのですがソフトウェア開発者への足かせにならないように注意しながら進めるのがまず第一かもしれません。それと根本的な部分を考慮し新しいコンセプトのウィルス等が出回った際の情報流出対策も考慮したいところです。
武田さん、こんにちは。
機会があれば私も参加したいです。
Winny+Antinnyに限らず、情報セキュリティ モラルの向上に関する議論ができればと思います。と、いうのは、e-Japan戦略のもと私が住む兵庫県でもインターネット インフラが整備されています。役所の広報の案内にも掲載されています。それらに対して、あまりにもセキュリティに対する啓蒙が無いため要望をあげると、理解しているけど広まらないから駄目と言われます。各個人が少ない出費を負担して、接続した環境でセキュリティリスクによる漏洩事故等が何時発生しても不思議ではありません。防犯運動と一緒で官民一体となったセキュリティ モラルの確保がかかせないと常々考えています。
現実世界の事故では相対的に加害者と被害者がわかれていますが、インターネット上のセキュリティ事故では被害者=加害者の図式が成り立つのはご承知の通りだと思います。これらの意識が一般家庭では全く認識されていないことも問題を大きくしている一員ではないかと考える次第です。
Alvissさんaraiさん
参加表明ありがとうございます。すぐにでも活動を展開しなくてはならないのですが、私も含め年度末ということもあってなかなか時間調整が厳しい状態です。4月には活動が見えるようにしていきたいと思います。詳細が決まりましたらご連絡しますね。
とりあえず4月上旬に第一回の研究会の開催が決定しました。私的な研究会としての位置づけでこじんまりと行う予定です。積極的なアナウンス等は行わないので興味のある方は当ブログ右上にある私のメールアドレスまで御問い合わせください。
すみません、送信しようとしたのですがホストエラーで送れないようです。一応アドレス確認やSMTP変更などいくつかやったのですがダメなようです。何か規制とかありますでしょうか?
alvissさん
特に普通より厳しい規制はないはずです。
もしよかったらコメントの際メールアドレスを入れてもらえます?(コメントのメールアドレス公開されません。)
宜しくお願いします。