「なぜ Winny による漏洩がなくならないか」だって？

筆者自身も書いているが、そのとおり、なんでそんなことを繰り返し話題にするのか。

そもそも企業活動をするにあたって、Winny のようなソフトは全く不要の筈だ。OS に最初から入っているならいちいちアンインストールなり設定の解除をしなければならない手間が発生するけれども、Winny は使っている人間が敢えてインストールしているのだから、ありていに言えば労務規約などの社内規程違反だろう。

要するに、きちんと懲罰を加えて社内を牽制しないからなくならないに決まっているのだ。

もちろんこういう対策を、まるで小学生の親が「体罰」教師を非難するかのように騒ぐ者もいるだろう。安全社会よりも安心社会。まったくもって、何千年経っても御利益がありそうなたわごとだが、そもそも信頼できるかどうか本当はよく分からないのに「信頼」だけを掲げて拝んでおけば済むというのは、50年代から何も変わらずに腐敗臭がするだけのプロ市民運動家くらいのものだろう。Winny で情報を漏洩するのは、ほぼ全員がれっきとした社会人ではないか。何を怖がっているんだろうと思う。もしかして、たいていこういうことをやらかすのは、実はその会社でいちばんコンピュータが大好きな便利人間なので、いなくなると困るということなんだろうか。もちろん、そんなことはない。たいていの職業的なシステム管理者やプログラマは、そもそも Winny など使って不特定多数の相手とファイルを交換する必要など微塵もないからだ。業務用のマシンなら、なおさらである。

ISMS の観点で言うと、まず Winny に限らず業務用のマシンに好き勝手にアプリケーションをインストールしている時点で（ISO 27001:2006 に準拠しているはずの規程なら）社内規程に違反する。たとえ Adobe CS4 のβ版だろうと Windows 7 beta だろうと、あるいはフリーのテキストエディタだろうと、会社の知らぬところで勝手に使ってはいけない。もし使いたかったら、手続き上は利用申請を出して稟議にかけるのが当然である。参考までに当社の場合は、入社時にあらかじめ業務で使いたいソフトウェアのリストを提出してもらい、業務に必須と言えるもので購入すべきものは入社までに購入するようにしている。したがって、金がかかるからフリーソフトを勝手に入れておけといった真似はしていない。これは、従業員にしてみれば、どんなソフトを使うか報告しなければならない煩雑さはあっても、業務で必要なものは会社から買ってもらえるので、無駄なことでも不利益でもないだろう。

また、後から使いたくなったアプリケーションがあれば、有償のものはもちろん稟議を出して諮るし、無償のものでも情報セキュリティ事務局への報告が義務付けられている。もちろん毎日のように調べるほどこっちもヒマではないから、数ヶ月ごとに各人のマシンを確認して、報告なしにフォントファイルやアプリケーションを追加していないかどうか、監査を行っている。ISMS に則っている認証を受けた企業なら、専任がいない当社ですらこの程度はやっているのだから、専任の部署がある企業なら最低でもこのレベルの運用はしていて当然だ。やってなきゃ、そいつらは端的に無能でしかない。監査する方の会社も、正しく手抜き運用を見抜いていないという点で無能と言っていいだろう。もちろん、監査は毎年あって担当も同じなら接待だのなんだのとあるわけだが、こういう低レベルの欠陥運用を放置するような会社では、後からどんなことが起きるか分からない。

ちなみに、そろそろ個人情報漏洩事故を起こした担当企業が一番多かった「監査団体」を公表すべき段階に来ていると思う。もちろん、プライバシーマークの場合は申請企業・団体はどこに監査してもらうか選べない仕組みになっている（業種や地域で担当監査団体が指定されている）ので、分かったからといっても、どうしようもないところはあるのだが、競争原理を取り入れて「通りやすい」といったレベルの低下を招かぬような措置を講じればよいはずだ。決めうちで監査団体が決まっている現状よりはマシだと思う。

で、こうした実務の中で、勝手にダウンロードしてきたソフトをインストールしたとか、あるいは企業用に発行されているアプリケーション用のライセンスを無断で使ったという事例が見つかれば、まず案件との関係を尋ねて、代理店などからの要求でもないのに業務用のマシンへ勝手にアプリケーションをインストールしてはいけない点を説明する。なぜ叱責ではなく最初に改めて説明するのかと言うと、末端であるか管理職であるかを問わず、デザイナーやプログラマーは自分の業務用マシンを私物化する傾向にあるからだ。

若い人材の場合、そもそも専門学校や大学で情報セキュリティや職業倫理をまともに教わってはいないし、こちらとしても専門学校や大学で教えている側の人材にスキルや学術的な水準や厳格なデュープロセス意識が殆どないことも承知しているから（ないんだよ。何を書いて喋っていようと）、あとは家庭ごとに、「かたや職業人でもある親」が、仕事に対する自分の姿勢を子供にどう見せているかいないかも重要だろう。

ただ、この業界では管理職やディレクタークラスですら、不幸なことだが職業倫理に類する実務上の牽制を受けなかった人材が掃いて捨てるほどいるので、ガキと同じ扱いをしなくてはならない者も多くいるわけだ。とりわけ若い時分に「デザイン」とか「アート」とか「エンジニア」といった語句が職能についていた者は、さして根拠もないプライドだけは高くなるので、自分のマシンを自分がどう使うかで「アーティストやエンジニアとしてのクリエイティブティやアイデンティティ」が問われるのだと勘違いしたまま成長することもある。で、そういう連中には入社時のオリエンテーションで情報セキュリティ担当者として言うのだが・・・

いいか。お前らは御託を並べる前に会社員なんだよ。

もちろん、 なんでもかんでも会社のルールに従えばいいなどと言ってはいない。会社のルールは発議して変えられるし、提案はいきなりハードルの高い役員にしなくてもいい。上長に文句を言うところからスタートしてもいいのだ。だいたいが、俺も会社のルールなんてクソみたいなもんだと思う。しかし、自ら代案を発議したり実行できなければ、受忍の程度に応じて会社をやめるか我慢するしかない。企業というものは色々な種類の資産を保有して維持している。プログラマーひとりの機嫌を損ねないように、企業が資産運用のルールを変えてくれたり違反を見逃してくれるなどと期待する方が傲慢であり、＜官製天才＞だろうと＜ものづくりエンジニア＞だろうと＜クリエイター＞だろうと、頭がおかしいとしか思えない。企業の資産である業務マシンで Winny など使っている奴は、言葉そのものの意味で資産を脅威に晒しており、これはあからさまな背任行為と言ってよい・・・くらい言えないものかね、大人は。いや、実は 40, 50 代でも使ってるクソみたいな連中だっているわけだが。

では逆に、情報セキュリティなどクソだと思うプログラマが、Winny のようなソフトを必要とする場合はどうするか（皮肉なことだが、多くの一般人は、システム開発の技術者がもっともセキュリティ意識をもっているという、或る意味で逆に偏見とでも言える都市伝説を信じている）。もちろん、会社に無断でそのようなソフトを入れようとも、まともな情報セキュリティ体制を維持している企業では Winny スキャンをポートの確認や通信先 IP のブラックリスト判定で行っているので、よほど特殊な設定で使っていなければすぐにばれる。また、不定期に Wireshark でパケットを保存してから検索をかけているため、LAN 側で流れているパケットに Winny などネットワーク通信を使うソフトの特徴が現れていれば、たいていのものは分かる。（メールについては、敢えてスキャンしてしない）

不審な通信内容があれば本人に確認する。事後報告で何らかのツールを使っていることが分かった場合は、注意もするし、情報資産の保護という観点で問題があるものは利用をやめさせている。利用をやめないか再び発覚した場合は、当然のことだがけん責や懲戒といった処分に至る。恥ずかしい話だが、当社でも俺が警告処分にした者は 4 人ほどいるし、クリアデスク・クリアスクリーン違反など抜き打ち監査するたびに社内の半数が警告となる。

かように、監査して警告するというアクションが牽制になっているのだ（もちろん僕に人事権はないし、ISMS で要求されている社員のスキル評定も、実際には給与査定にあたって効果がないので、警告されても屁でもないという点はいかんともし難いのだが）。それでも、IPA だろうとどこだろうと、こういうことの積み重ねを続けて、いわゆる「企業カルチャー」として情報セキュリティ意識を維持しなければならないという点は、IPA 自身が語っていたはずのポイントなのだ。かなり前になるが、例の IPA の一件は、ああいった組織ですらセキュリティ意識を徹底することが難しいという実態を明らかにしたという意味で興味深いが、決して単純に笑い飛ばして済ませられるものではない。なにせ、いまだにあんなクソソフトを、自由と栄光のネット文化を支える必須アイテムだと本気で考えている連中がいるのだ（P2P という技術自体は、俺にはどうだっていいことだ）。実務家としてのわれわれは、企業の業務として間違っていると思うことは（それに、Winny を使うことは断じて業務ではない。そんなウェブ制作プロダクションがこの世にあったら、いちど業務フローを見学に行きたいくらいだ）、機嫌取りなどせずに徹底的に叩き潰すべきなのである。

管理職や管理部門の仕事の一つは、確かに社内の環境を整えて業務が円滑に行えるように配慮するというものだ。しかしそれは、社内を技術しか能がないバカや、あるいはガキどもの自宅同然に設えてやることではない。もちろん、どこぞの英会話学校のように、社内を役員の居室にしてやることでもない。

本日は在庫処分につき、これも 1/28 に書いた記事。