データセンター（idc）についてのブログ

今日からブログを綴っていこうと思います。

ここでは主に情報セキュリティについて・・・

そしてidc データセンターのことについていろいろと書いていく予定です。

どうぞよろしくお願いします。

「情報リスク」といっても、その意味するところは非常に広く、また漠然としており、つかみどころがないように思えます。

そこでまずはじめに、企業の実態を把握するために、これまでに企業で実際に起きた情報関連の事件を取り上げ、企業が抱える情報リスクとはどのようなものなのかを検討していくことにしましょう。

近年、新聞紙上でも取り上げられることの多いのが、顧客情報の流出です。

次の例も、その典型的な事件です。

A社の広報室に新聞社から電話が入りました。

「もしもし○○新聞ですが、御社のホームページの資料請求に登録したお客さんの情報が、別のホームページに掲載されているのですが、こ存知ですか？

御社のホームページが不正アクセスを受けたという噂ですが、コメントをいただけますか」

・・・電話を取った広報の担当者は慌てて、その記者の言うホームページを見ました。

すると確かに名簿らしき情報と、「A社のコンピュータから盗んだ情報である」という犯行声明らしき文章が載っています。

・・・広報室は騒然となりました。

2011 / 05 / 01 パーマリンク

ある者は名簿が掲載されているアメリカのホームページの会社を探し・・・

ある者は別のマスコミからの問い合わせに備え原稿を用意します。

しばらくするとホームページの管理とidc データセンターを担当するシステム担当者が駆けつけ、公開されている名簿が本物であることがわかりました。

何者かがA社のネットワークに不正侵入し、顧客の情報を盗んだようです。

調べてみるとホームページのサーバーにあるセキュリティホール(セキュリラニィ上の弱点)から、アカウントとパスワードが漏れ・・・

そこから社内のサーバーに次々と侵入し名簿を盗んだことがわかりました。

ファイアウォールもありましたが、管理者用のアカウントを使って不正アクセスは行われたようで、そのため社内への侵入を許してしまったのです。

「アカウント」とは、コンピュータシステムの利用者を特定するために個人またはグループ毎に割り当てられた符号です。

企業では社員番号や名前を利用することが多いです。

システム管理者のアカウントを使うとそのシステムの設定を自由に変更できるため、これを盗まれると大きな不正行為につながる恐れがあります。

2011 / 05 / 09 パーマリンク

ホームページのデータを保存しているサーバーでは、CGIというプログラムを実行できる仕組みを持っている場合があります。

便利な仕組みであり、企業に限らず多くのホームページで利用されているのですが・・・

悪用されると内部情報が明らかになってしまう欠点を抱えています。

idc データセンターにはこのような心配はいらないのですが・・・

たとえばホームページのアドレスを入力する部分に、そのサーバーのパスワードファイルを表示するようなコマンド(コンピュータの命令)を入力すると、あっさりとパスワードなどのデータが表示されてしまう場合があります。

システム担当者はこのことを考慮して、そのような現象が出ないようにシステムの設定を変更する必要があるのです。

しかし、そのことを知らずにホームページサーバーを運用している企業がいまだに数多く残っています。

この方法で盗んだアカウントとパスワードファイルを解読し、その企業の社員になりすましてアクセスすれば、社内システムに簡単に侵入できてしまうことになります。

では次に、「メール爆弾」について。

この言葉をお聞きになったことのある方は少なくないでしょう。

電子メールを大量に送りつけるという単純な行為によって、相手のサーバーを破壊できるため、数多くの事件が起きています。

2011 / 05 / 11 パーマリンク

その日は朝から重要な取引先が来年度の契約の交渉に来る日でした。

販売する商品の最終的な価格は、米国支社の担当者から、朝までに電子メールで送ってもらうことになっています。

本社営業部長のB氏は、いつもより早めに会社に着くとパソコンを立ち上げました。

メールソフトを開き、受信ボタンを押しました。

メールをダウンロードしている間、彼はコーヒーを買いに廊下の自動販売機に行くのが日課でした。

コーヒー缶を片手に席に戻って彼は仰天しました。

メールボックスの目次の部分に、意味不明の英字タイトルのメールがどんどんダウンロードされています。

何件あるのかわかりませんが、次々にダウンロードされているようで受信作業がいつまでたっても終わりません。

もちろん米国支社からのメールが来ているのかどうか確認のしようもありませんでした。

しばらくしてidc データセンターに詳しい部下が出勤してきたので、パソコンを見てもらうことにしました。

「おれのメールソフト、受信が止まらないんだ」・・・。

2011 / 05 / 19 パーマリンク

パソコンとidc データセンターに詳しい若い部下は、部長のパソコン画面を見て、

「ああ、これはメール爆弾ですね。メールを大量に送りつける嫌がらせです」

・・・と言ういます

「しかし、9時半に取引先に提示する条件を書いたメールがこれでは読めないぞ。困った・・・」。

結局交渉でB部長は、取引先に米国からの条件を提示することができませんでした。

A部長が商談を終え、会議室からデスクに戻るとオフィスは騒然としていました。

なんと全社の電子メールが止まってしまっていたのです。

原因は何者かによって数十人の社員に対して数万通のメールが配信されたためでした。

その日1日、会社では電子メールが使えずさまざまな取引に影響が出てしまいました。

今や企業では電子メールが電話やファックスと同様に高い頻度で使われるようになり、電子メールが止まってしまうと業務に支障が出るまでになってきています。

・・・そんな中、メール爆弾といわれるいたずらが企業のシステム担当者を悩ましています。

2011 / 05 / 20 パーマリンク

メール爆弾は、ある特定のアドレスに対して大量のメールを送りつけるもので、いわばいたずら電話の電子メール版です。

ただ電話と違うのは、大量のメールを送信するのに費用がかからない点と、メール爆弾専用のプログラムがあり、たとえ何万通のメールを出そうとも手間がかからないという点です。

このメール爆弾専用のプログラムは、インターネットの検索サービスで「Mailxxxxxx」などのキーワードで探すことができ、簡単に入手が可能でした。

また、これらのメール爆弾プログラムを使うと発信者を偽装できるので、そのメールを誰が発信したのか受信した側では調べることができません。

残念ながら企業としてはメールを受信してみないと通常のメールか、メール爆弾かの判断ができないのでメール爆弾を防ぐのは難しく・・・

特定のメールアドレスに大量にメールが到着した場合に受信を破棄してしまうなどの対策を取って、サーバーのダウンを避けるしかないのです。

また、被害が度重なるようであればメールアドレスを変更し、idc データセンターについて勉強しましょう。

・・・このようないたずらに遭わないためには、企業内の個人のメールアドレスをみだりに教えないことも必要でしょう。

2011 / 05 / 31 パーマリンク

ウイルスというソフトウェアが、コンピュータに次々に「感染」しながら、誤動作を起こさせることはご存知でしょう。

自然界のウイルスと同様に、企業にとっては致命的な影響を及ぼすこともあり、注意を要します。

昼休みの終わった午後、C課長に取引先から電話が入りました。

「え？ウイルスですか？すぐに調べます」

C課長が電子メールで配布した、取引先向けのセミナー案内状のファイルがウイルスに感染していたという連絡でした。

C課長は調べますとは言ったもののウイルスの入ったファイルなど送った覚えはありませんでした。

失礼な取引先だとC課長は怒ってはみましたが不安になり、idc データセンターとパソコンに詳しい隣の課のD君に聞いてみました。

D君はしばらくC課長のパソコンを操作し、C課長のパソコンがウイルスに感染していることを確認しました。

「課長のパソコンはマクロウイルスに感染しています。

でも、これだったらインストールされているウイルスチェックのプログラムで検知できたはすですよ。

・・・あれ、ウイルス検知ソフト止まっていますよ。

課長、パソコンの設定をいじりましたね」。

2011 / 06 / 09 パーマリンク

C課長は、いろいろと操作しているうちにウイルス検知ソフトを止めてしまっており、そこにウイルスの入ったメールを受信して感染してしまったようです。

D君が調べると昨日、米国から受信した資料のファイルにウイルスが発見されました。

C課長は慌ててその日にメールを送信したすべての取引先に電話をして、メールに添付されているファイルを開かないように伝えました。

既に開いてしまった企業では、ウイルスに感染している可能性があることを伝え、謝罪しました。

幸い対応が早かったので、感染してしまった企業は数社で済んだものの・・・

後日C課長は菓子折を持ってそれらの会社を回る羽目になってしまいました。

マクロウイルスとは、ワープロや表計算などアプリケーションソフトの自動操作機能(マクロ)を悪用したウイルスのことです。

このウイルスはそれぞれのアプリケーションで作られる文書に感染するため、電子メールに添付した文書ファイル等が配られることで被害が広がっていきます。

コンピュータを頻繁に活用している企業では、複数の者が1度ならずウイルスの被害に遭っています。

フロアのパソコンがすべてウイルスに感染して、大騒ぎとなった経験をお持ちの方も少なくないと想像します。

このようなことを起こさないためにも、しっかりidc データセンターについて学んでおきたいものですね。

2011 / 06 / 22 パーマリンク

最近の傾向としては、ウイルスに感染すると自動的に電子メールソフトを通してウイルスをばらまいてしまうものや・・・

コンピュ一タを起動させる基本的なプログラムに感染し、コンピュータ自体を使えなくしてしまうものなど、悪質で大きな被害につながるウイルスが登場しています。

ウイルスは常に新種のものが生まれています。

そのため、それを検知する専用のソフトを導入していても、ウイルスを検知するデータを頻繁に最新のものにしておかなければ意味がないのです。

ソフトのなかには、オンラインで自動的にデータを更新するものもあります。

これはidc データセンターのように便利ですよね。

・・・いずれにせよ、各企業では、ウイルスを取引先に配布してしまうなどして信用を失わないようにウイルス対策は万全を期す必要があります。

さて、顧客情報は、コンピュータが普及するはるか以前から、ライバル企業にとっては垂涎の的でした。

かつてとの違いは、膨大なデータがデジタル化されているため、簡単に持ち出せることです。

2011 / 07 / 03 パーマリンク

現在、ネットワークを通じて社内外から人手することも不可能ではありません。

そして、持ち出す人間は、一見して犯罪者とわかる社外の者とは限りません。

・・・こんな話があります。

情報システム部門に勤めるD係長が、古い雑居ビルに顔を隠すように入っていきます。

そのビルには名簿を売買する会社の看板がかかっていました。

カウンター越しに応対に出た男がD係長に言いました。

「この名簿でしたら10万円ですねえ。

これ本物ですか？

証明できるようなものはありませんか？

それから、もっとまとまった件数があると、価値があるので高く引き取りますよ」

・・・週末、D係長は休日出勤を装って、自社の顧客リスト数十ページを印刷し、データ数万件をMO(光ディスク)にコピーしました。

そしてそれらを持って、また名簿を売買している店に行きました。

情報は50万円で売れたそうです。

idc データセンターについて詳しい方なら、このような話を聞いたことがあるでしょう。

2011 / 07 / 18 パーマリンク

数日後、D係長のところに部下が血相を変えて飛んできました。

この部下はidc データセンターについても詳しいのです。

「係長。大変です。誰かが顧客情報を盗み出したようです。

新しい顧客情報の検索システムの運用テストで、顧客情報のファイルを使おうと思ったら、以前に使用された日付が先週の土曜日になっていました。

土曜日は休日なので誰もコンピュータを使うわけがないので・・・

もしかしたら、誰かが社外から不正アクセスをしたのかもしれません。

ちょっと、よく調べてみます」

・・・D係長は一瞬慌てましたが、冷静に答えました。

「そうか、わかりました。

でも、それは調べなくていいよ。

土曜日なら私が出社して書類の整理をしていたが何もなかった。

メーカーの人が点検に来ていたようだから、そのせいかもしれない」

「そうですか。じゃあ、大丈夫ですね。安心しました」

・・・安心したのはD係長のほうでした。

2011 / 08 / 07 パーマリンク

情報システムから情報が盗まれる事件の大半は、実は内部による犯行であるといわれています。

借金返済の金欲しさに自社の顧客情報リストを売っていたシステム部門の社員・・・

ライバル企業に転職する際に、顧客情報を持ち出した営業担当者など・・・

事件として表ざたにならないものも含めると、相当多くの企業で日常的に情報の漏洩は起きているともいわれています。

企業のセキュリティ対策では、外部からの不正アクセスはもとより、社員や契約社員など内部の不正に対する防御措置を必ず行うことが重要でしょう。

さて、検閲は、プライバシーの問題に直結しており、コンピュータが介在しているか否かにかかわらず、デリケートな部分を含んでいます。

簡単に割り切れるものではないですが・・・

idc データセンターについて考え、情報システムを扱う立場から考えることが重要でしょう。

2011 / 08 / 16 パーマリンク

こんな話があります。

毎週木曜日は社内イントラネット担当のE主任にとって楽しみな日です。

彼はidc データセンターについても詳しく、情報セキュリティについて日々勉強しています。

会社に出社すると1人サーバールームに入って画面を見ながらニヤニヤと独り言を言っています。

「へえ、営業部はまたゴルフコンペか。暇だなあ。

あれ、秘書課のM子にまたデートの誘いのメールが来ている。

おお、役員から部長に業績改善の通知だ。

改善が見られないと、リストラの対象になるらしい。当社も厳しい状況だなあ」

・・・E主任の仕事は社内の電子メールサーバーの管理です。

トラブルがあればサーバーの設定を直したり、新規利用者のアドレスの設定や異動者の変更を行います。

大変に地味な仕事でありました。

ところがつい数週間前に情報システム部長にE主任は呼び出され、最近電子メールで不正に社内情報を外部に漏らしている者がいるという匿名の告発があったので、E主任に定期的にメールの内容を調べてほしいという依頼がありました。

・・・それから、E主任は毎週木曜日に電子メールの中身を調べることになりました。

2011 / 09 / 09 パーマリンク

毎日約1万通近くやり取りされるメールの中から問題のメールを探し出すのは容易なことではありません。

・・・まず、E主任は片っ端から電子メールの中身をのぞくことにしました。

最初はなんとなく人の手紙をのぞくような罪悪感にかられましたが、これも仕事だと思い、割り切って始めました。

E主任が電子メールの中身を見始めると、電子メールの使われ方が実に千差万別であることがわかりました。

ある者は毎日積極的にメールのやり取りを社内外と行っており、そのメールを読むだけで仕事熱心である様子が伝わってきました。

また、ある者は社内の飲み会の打ち合わせ程度にしかメールを使っておらず、そういう者に限って忙しいはずの午前中の就業時間にせっせとメールを各所に配信しています。

また、女性社員のメールの大部分が噂話の発信であることもわかってきました。

・・まさに、電子メールは会社の縮図でありました。

問題のあるメールもいくつか見つかりました。

商品の斡旋を社内に促すメールや、会社の重要と思われる情報を取引先に不用意に発信しているメールがありました。

いずれも発信者に悪意はないものの、電子メールの利用基準の必要性をE主任は感じたのです。

これは社内で一度電子メールについて、そしてidc データセンターについて勉強会を開かねば、と思いました。

2011 / 09 / 24 パーマリンク

メールのチェックを数週間続けるうちに、E主任の報告を受けて電子メールの使用方法に関して注意を受ける社員が出てきました。

・・・同時に、電子メールの中身を会社がのぞいているという噂が広まりました。

すると、急速にメールの使用量が減少しました。

メールのダウンロードの時間が遅いというクレームも減り、増設を検討していたメールサーバーのハードディスク容量にも余裕が出てきました。

idc データセンターについての勉強、そしてメールの検査は電子メールシステムの設備投資を削減するという思わぬ効果も生んだのです。

E主任は上司からも、その成果について褒めるられ、ますます張り切って、今週も社内の電子メールをのぞいて不正なメールを探すのでした。

・・・そんなある日、E主任の元に社長から突然電話が入りました。

「E君、ちょっと調べてほしいことがあるんだ。

社長室に来てくれないか？実は、のぞいてほしいメールがあるんだ」

企業で働く従業員が電子メールを使う場合、それらは業務の一環ということでその内容を企業が検閲することはプライバシーの侵害に当たらないという考え方があります。

・・・しかし、この場合の検閲に当たる者が誰であるかということによっては、プライバシーの問題に触れることがあります。

2011 / 10 / 10 パーマリンク

たとえば健康診断の再検査の通知を人事部が特定の人に通知した場合・・・

それらの事実はプライバシー情報といえ、これらを社内の特定の人がメールを検閲することで知り得た場合にはプライバシー侵害といえる可能性があります。

また、業務上の秘密に関しても、その業務に関わる当事者以外が知り得る場合には問題があるといえます。

・・・このように、電子メールでのやり取りを企業が検閲することは、電子メールの業務外使用を減らしコスト削減やセキュリティ対策に結びつく可能性がありますが・・・

しかし、ひとつ間違えればプライバシー侵害や業務上の秘密漏洩につながる恐れがあり、注意が必要です。

idc データセンターによるインターネットは、個人でもマスメディアのように広く意見を表明できる画期的なコミュニケーションツールです。

・・・これは、便利な半面、危険な要素も含んでいます。

従来、マスコミ対策に注意を集中してきた企業も、今後は個人に対してもマスコミと同様あるいはそれ以上の注意を払う場面が出てきそうですね。

2011 / 10 / 25 パーマリンク