個人所有のPCに対して監査ツールの実行をお願いされた話
少し前の話なのですが、winnyを介しての情報流出が会社で問題になっていまして、
全社員に対して個人所有のPCでチェックツールを実行して、
結果を報告するようにとのお達しがありました。
私はそんな格好ばかりの対策など無意味で、
個人への余計な干渉だと思っていたため、突っぱねるつもりだったのですが、
会社のやり方はさらにその上をいっていました。
チェックツールはCD-Rで一定のグループに1枚配布され、
各自持ち帰って自宅PCで実行する手順になっていたのですが、
そのCD-Rにでかでかと「社外秘」と印刷されていたのです。
「まて、これは孔明の罠だ。
情報管理の教育がちゃんと出来ているか確認するために
社外秘と印刷してあって、これに対してどのくらい問い合わせがあるのか
確認しているに違いない。」
と思って対応部署に
「これは社外秘と書かれていますが、自宅のPCで実行してもよいものですか?
このツールが流出した場合どうなりますか?」
と問い合わせたところ、
「自宅のPCで実行してもらって結構ですが、流出した場合責任をとってもらいます。」
という訳のわからない回答をされた。
(おまえのことだ。Hソフト)
チェックツールを実行する環境には、暴露系のウィルスが入っている可能性がきわめて高い。
頭のわるいセキュリティ監査部の連中にもわかるように説明してあげると、
winnyやshareが入っている環境というのは、
それらから入ってくる暴露系のウィルスが入っている可能性も高く、
下手をするとチェックツール自体が暴露ウィルスによって公開されてしまう可能性がある
という事なのだ。
そういった環境で実行しなければならないツールを
社外秘として指定したのは、なにか後ろめたい事があったからなのだろうか?
それから、ほかの社員たちは社外秘と書いてあるCD-Rを
チェックツールだからという理由で
何の疑問もなしに自宅に持って帰っていた事の方が問題だ。
図らずも社員に対しての情報管理の教育がまったく役に立っていないことが証明されてしまった。