Antinny 撲滅計画?
こんにちは、丸山満彦です。今朝のNHKのニュースで、Telecom ISACがAntinnyウイルス対策サイトを公開すると報道していました。
■内閣官房
・2006.03.15 Winnyを介した情報漏えいについて
■内閣官房 情報セキュリティセンター
・2006.03.15 Winnyを介して感染するコンピュータウイルスによる情報流出対策について
■Telecome-ISAC
・ANTINNYウイルス対策サイト
こういう取り組みも社会的責任を果たしているということですよね。実のある社会的責任の活動です。
■Microsoft
・セキュリティホーム
・・ファイル共有ソフトによる情報の流出について
■トレンドマイクロ
・2006.03.02 ファイル交換ソフトWinny(ウィニー)による情報漏えいにご注意ください
=====
■NHK
・Winny問題で対策のHP
=====
ホームページでは、Winnyを通じて感染し情報を流出させている「Antinny」と呼ばれるウイルスの特徴が解説され、案内に従って操作すると最新の対策ソフトが働いてウイルスを駆除できるようになっています。しかし、ウイルスはいったん駆除してもWinnyを使っているかぎり再び感染するおそれがあるほか、対策ソフトでは駆除できない新種のウイルスが現れる可能性もあることから、ホームページでは「駆除するとともにWinnyの使用をやめることが最善の策だ」としています。
=====
小山さん、男前に映っていました。
Comments
なんか不思議ですよねぇ~。
ネットワーク的だと言えばそれで「終了」なわけですが、県警は「誓約書を取る」とかしか言えないし、官房長官は「国民みなさま、セキュリティにご注意下さい」って・・・・政府の言うことなのか?(言うだけなら政府じゃなくても良いから)で、その他(としか言いようがない)組織が「社会的責任の立場からに面倒みましょう」と旗を振る。
そうしないと旗すら振らないのだけど、それって社会のどの位置に居るの?です。
不思議だな。
つ~か、まだ影が薄いということですね。
Posted by: 酔うぞ | 2006.03.15 14:59
酔うぞさん、コメントありがとうございます。
原爆、戦車、機関銃、拳銃、猟銃、包丁、錐、カッターナイフ、はさみ、ペーパーナイフ・・・
winnyはどこにいるんだろう・・・
Posted by: 丸山満彦 | 2006.03.16 01:00
丸山さん
アタシも詳しくはないのですが、大抵の会社ではITの部署でSecurity Statementと呼ばれるセキュリティーに関するポリシーというようなものを構築して、かつ実行しているのではないでしょうか。
企業及び団体のトップマネジメントがセキュリティーに対してどのような考え方をしているのかが組織の内部に浸透していたら、今回のような事件が起こるのを防ぐことができたのかなという気がします。
Posted by: koneko04 | 2006.03.16 02:19
>企業及び団体のトップマネジメントがセキュリティーに対して
>どのような考え方をしているのかが組織の内部に浸透していたら、
>今回のような事件が起こるのを防ぐことができたのかなという気がします。
わたしはこれでは無理なんじゃないか?と思います。
個人や企業などそれぞれの立場でとって(情報)セキュリティとは
「都合の悪い情報に触れさせない」に他ならないわけで、
だからこそ「内部告発はどうする?」であったり「ワイセツ語と研究はどう区別する」
になっているはずです。
そうすると企業などそれぞれの立場でのセキュリティとして社会的に合意できる
ウイルス感染させない、とか情報の偽装は好ましくない、といったところ以外の
「我が社の秘密情報は出させない」「決算報告の本物は出さない」なんてことと
どうやって区別するのか?となります。
さらには、法律で認められている(あるいは決められている)ことに
組織として反対する(法律違反する)ことを取り決める例というのが
個人情報保護法で沢山あって問題になっています。
つまり「何をどうすれば良いのか分かってない」のが現状だと
わたしは考えるわけです。
従って「現状は、回答は分かっているのに実行していないから問題」
という解釈ではなくて「何を実行するのか目標とする回答は分かっていない」
であると考えています。
つまり「防ぐにはどうするか」かが分かっていないとなります。
Posted by: 酔うぞ | 2006.03.16 08:27
酔うぞさん
そうですね。何をどうしたいのかという所が明確であり、対策が練られているという段階にたどり着くことから始めないといけないのでしょうね。
Posted by: koneko04 | 2006.03.16 09:20
ひとつのポイントは、自宅に会社のデータを持ち帰って仕事をすることが企業文化の上で
「よいこととされている」
わけですから、そこから漏洩してしまうことは、その文化を変えないかぎり、なかなかなくならないだろうと。
その文化を変えたくないなら、経営者は、きちんと根本から考えろということなのではないか、ここの根は深いよねと思っています。
Posted by: ミスターIT | 2006.03.17 00:33
koneko04さん、酔うぞさん、ミスターITさん、コメントありがとうございます。
日本の企業のセキュリティポリシーは、米国の企業のセキュリティポリシーとは似て非なるものです。初期のころのコンサルが良くわからないまま広めたのがそのままデファクトとなってしまっているようですね。経営者が、情報セキュリティを守りますととにかくいっているだけで、方針がないものが多いです。
酔うぞさん、コメントありがとうございます。
「防ぐにはどうするかがわかっていない」組織もありますが、100%防げる対策でないとしても対策はわかっているができていない組織もあります。今回の政府の対策についても、「こういう場合もあるので、こんな対策ではだめだ」的な発言もありますが、特効薬は無いわけで、たくさんある対策のうち、特に今回追加した対策だけが報道されているだけのことですね。
さまざまな対策を複合的に整備して、それを確実に実施する。そういうクセをつけていくことが、重要なポイントの一つです。そして、もうひとつ重要なことは、次に書きます。
ミスターITさん、コメントありがとうございます。
まさに、組織文化であり、統制環境の話です。これが実はもっとも重要です。根本から変えることができるのは、トップですから、トップの方針を変えなければだめですね。家に帰って仕事をせずに職場に残って仕事をすることを徹底し、家に帰って仕事をしている人を罰するくらいのことをしないとだめでしょうね。結局、口で持ち帰るな・・・といっても、持ち帰って家のパソコンで仕事をした人をほめると、そうすべきものだとみんなは思うわけですね。
情報セキュリティも内部統制の一部で、人間が行うプロセスなわけですから、人間にフォーカスをあてて考えるべきですね。
Posted by: 丸山満彦 | 2006.03.17 08:04
ミスターITさん
>自宅に会社のデータを持ち帰って仕事をすることが企業文化の上で
>
>「よいこととされている」
>
>わけですから、そこから漏洩してしまうことは、その文化を変えないかぎり、なかなかなくならないだろうと。
酔うぞの遠めがねにいただいたコメントで同じ事をおっしゃっている方が居ました。
これは諸悪の根源であるかもしれません。
Posted by: 酔うぞ | 2006.03.17 08:14