なかなか良い記事ですね。技術的じゃないけどトップには響く。結局は漏洩→再発防止策を公表では漏洩防止につながらない、止めると止めるだけ出て行く。

アリコジャパンの情報流出事件は、「三菱UFJ証券情報流出事件」と似ているところが多い。しかし、クレジットカードの不正利用が起きているだけ深刻である。幸いカード会社のチェックで、実際の金銭的被害までには至っていないという。とはいえ、クレジットカード情報も含む個人情報が約13万件も流出したことは、アリコジャパンの信頼が損なわれ悪影響をもたらすのは間違いない。

　ここまで連続すると、金融機関や保険会社だけでなく個人情報を扱う企業は、おそらく管理体制のチェックくらいは実行しているだろう。それによって、報道機関がいうところの「ズサンな管理」が改善され、情報流出や漏洩がなくなるかというと──残念ながら、とてもそうとは思えない。

http://www.nikkeibp.co.jp/article/column/20090729/170742/

具体的に効果の出るセキュリティ対策、ポリシーやモラルに訴えず、ユーザが持って帰らない帰っちゃダメだと思ってもらえるセキュリティ対策ですね。

個人情報の流出や漏洩は「いつでも、どこでも」状態で、いまや日本は「情報漏洩大国」に近づきつつあるのかもしれない。

　だからこそ、個人口座などの個人情報を扱う金融機関や保険会社には、規範となるセキュリティ対策が求められる。りそな銀行の事例が示すように、経営陣が謝罪会見で「再発防止」や「管理強化」を謳っても効果はない。
　必要なのは実際に効果が期待できる具体的なセキュリティ対策である。そこから見直さない限り、「第二、第三」どころか「いつでも、どこでも」が現実になりかねない。

http://www.nikkeibp.co.jp/article/column/20090729/170742/?P=2

ここ最近の情報流出は、その限界を示している。いわゆる「言葉で語るセキュリティ対策や管理」ではなく、求められているのは「実状の改善によるセキュリティ対策や管理」だろう。

　だからといって「セキュリティに予算を多く」ではない。絶好調の企業だとしても、効果が見えにくいセキュリティ対策に、ヒト・モノ・カネを次ぎこむのは抵抗があるし、最悪の場合ムダな資金投入になる可能性もある。

　必要なのは「実状の改善によるセキュリティ対策や管理」という考え方である。限られた予算の枠内でも、そう発想するだけで有効な対策は数多い。そこに気がつくのがセキュリティ対策や管理のスタートだろう。

http://www.nikkeibp.co.jp/article/column/20090729/170742/?P=5

USBメモリにファイルのコピーが出来ないようにする仕組み、ユーザを悪者に仕立て上げない仕組み。セキュリティ対策はユーザを守るためのものということを理解してもらう仕組みが必要ってことか。

「USBメモリの使用とパソコンの持ち帰りは厳禁」と強調しても、紛失や盗難などがなくなるとは思えない。やはり、それらを「できない」あるいは「する必要がない」ような管理を考えていく必要がある。なにも「残業解禁」とか「帰宅時には持ち物検査」などという乱暴な管理でなくても、アイデアと工夫で可能だろう。

http://www.nikkeibp.co.jp/article/column/20090729/170742/?P=6

その意味で、セキュリティは、ヒトを活かす組織や運用のマネージメントにかかっている。その発想にたって実状を改善しないと、「情報漏洩大国」が現実にならないとも限らない。

http://www.nikkeibp.co.jp/article/column/20090729/170742/?P=6