あなたの会社は大丈夫？〜IM に潜む危険性

まさか、この期に及んで、さすがに Winny やピア・ツー・ピア（P2P）アプリケーションを使っている企業や官公庁は少なくなっているのではないか？と思っていたが、世の中そんなに甘いものではなかった。

2005年から2006年にかけて企業や公的機関の情報漏洩が相次ぎ、毎日のようにニュースを賑わしたことは記憶に新しい。NPO 日本ネットワークセキュリティ協会が2006年6月に発表した「個人情報漏えいインシデント調査結果」の個人情報漏洩事故件数を見てみると、2003年の57件に対し、2004年には6.4倍となる366件、2005年にはその約3倍の1,032件が報告されたという（2006年度の件数は本記事を執筆した2007年5月の時点ではまだ発表されていない）。

ノート PC の盗難や紛失、あるいは悪意をもった内部者による情報窃取のほかに、もっとも多かった事例が Winny による情報の流出であった。正確には Winny に感染する Antinny というウイルスが 原因であるが、Winny と Winny が使用している P2P アーキテクチャが悪者とされ、多くの企業や機関で「Winny 使用禁止」や「個人 PC の持ち込み禁止」などが通達・徹底された。

これらの対策や意識向上で沈静化するかと思われた情報漏洩だが、ニュースサイトなどで追ってみても2006年、また2007年に入ってもなお、その数が大きく減少している様子はなさそうである。そしてその多くは、やはり Winny や Share といった P2P アプリケーションを介した漏洩のようだ。



■コンシューマ向け IM の危険性
ここで情報漏洩の観点から IM の問題点をまとめてみよう。一般的なフリーの IM の場合、ひとつの問題は IT 管理者が社員によるインストールや利用を把握できないということである（このような形態を「グレーネット」と呼ぶ）。

とくに既存のフリー IM はファイアウォールを迂回するため、セキュリティ面で非常に大きな問題がある。また Skype を含めて、IM にはファイル転送機能が付いている場合が多く、利用者に情報流出の機会を与えてしまう。これらをまとめると、コンシューマ向けの IM には以下のようなセキュリティ上の問題点が挙げられる。

　・IT 管理者が把握できないグレーネットの作成
　・脆弱性を利用したウィルスの侵入（ワームやトロイの木馬を含む）
　・ウィルスによる接続障害やセキュリティバックドアの作成
　・外部ユーザーに対する情報流出
　・アカウントの紛失や盗難に起因する不正アクセス
　・困難なログ管理

上記の項目を、情報漏洩または情報流出の観点で整理してみると、大きく3種類に大別できる。

　1．ウィルスやワームに起因する、利用者や IT 管理者が意図および把握し得ない漏洩
　2．IM のファイル転送機能を利用した利用者の意図的な漏洩
　3．IM のファイル転送機能を利用した利用者の過失による漏洩

「1項」のようなウィルスやワームなどによる IM を標的とした攻撃の危険性は、実は決して低くない。あまり知られていないが、フリーの IM にはそれぞれ脆弱性が存在するからだ。事実、今年1月に米 Akonix Systems が発表した調査結果によると、2004年には50件以下だった IM や P2P ベースの攻撃は、2005年に347件、2006年には406件と大幅な増加をみせている。

また、フリーの IM ソフトの一部はほかの企業のユーザーともやりとりが可能であり、複数の企業にまたがってセキュリティ問題が生じる可能性がある。その場合、一連の通信はグレーネット上で行われるため、それぞれの企業のIT管理者の警戒の対象とはなりにくい。

■信用の獲得には時間がかかり、失うのは一瞬で、取り戻すのは難しい
しかし、本当に恐ろしいのは前述の「2項」と「3項」のほうで、管理者が把握していないグレーネット上で、意図するしないにかかわらず、個人情報などのファイルが簡単に送信できてしまうところにある。情報漏洩は企業の信用を失墜させるとともに、顧客や取引先に対する補償や賠償が発生する恐れがあるほか、漏洩が発生していなければ得られたであろう利益を失うことになりかねない。

とくに個人情報漏洩は企業経営の根幹を揺るがす脅威となり得る。たとえば、Web サービスを利用しているユーザーへの調査（NRI セキュアテクノロジーズ株式会社「情報セキュリティに関するインターネット利用者意識 2006」）によると、個人情報漏洩を経験したときに、40％以上の人がサービスの利用を中止し、離反している。

前回の記事で述べたように、インスタントメッセンジャーは企業内の意思決定のスピードを速めるとともに、コミュニケーションを活性化するポテンシャルを備えている。一方で、一連の騒動が原因となって、IM や P2P といった新たなアプリケーションに対する企業側の拒否感も強い。そのような懸念を払拭する意味でも企業内にグレーネットを生まないことが肝心であり、企業向け IM（BizIM）の価値と意義がこれから一層認知されていくのではないだろうか。

次回は、悩める IT 管理者〜IM、P2P ソフトウエアにどのように対応しているのかを見ていく。