先日、あってはならない流出事件がありました。
任天堂(等)がアップしたYouTube内容が、公開前にGoogle従業員によって事前リークなどに使われたとのことです。
事業を行うにあたり、様々なサービスを使わざるをえない状況ですが、
こうした事件にどのように対処していけばよいでしょうか。
社外に出た時点で、リスクあり
いかに契約や法律で縛ったとしても、
社内に情報やデータが出た時点で基本的にはコントロール不能です。
YouTubeのような配信サービスの場合、
コンテンツがガイドラインに則っているか、といったチェックは必要になるでしょう。
そのため、配信予定データに誰もアクセスさせない、というのも成り立たないでしょう。
こうしたサービスを使うには、ある程度「流出する」前提で考えるしかない気がします。
機密レベルに合わせて対応していくしかないですね。
メールの中身は・・・
このYouTubeの件が話題になった時、
「Gmailも見られてるよね」といった噂が出ました。
実はメールはかなりの機密情報が書かれるものです。
そもそもの機密的な内容から、
各種サービスのアカウント・パスワードといった情報まで書かれることもあります。
これらも、社外メールサーバである場合は
「見られている」前提で使った方がよいですね。
(社内オンプレミスのメールサーバで、社内でのやり取りであればまだ安全かと)
Chatwork、Slack、Teamsなどを使っても同じですね。
※AppleのiMessageはend to endの暗号化をしていると言っていますが・・・
メールで(初期)パスワードなどが送られてしまった場合、
私はさっさとそのサービスのパスワードを変更してしまいます。
サービスでなくとも、注意が必要
クラウド(AWSやGCPなど)が流行り始めた時、
「サーバ(データ)を他社の基盤に乗せるのは、セキュリティリスクが高いのでは」
といった話が多くなされました。
実際、情報流出を懸念してクラウドを採用しないケースも目にしてきました。
サーバに限らず、GoogleDrive、OneDrive、BOX、Dropboxといったストレージを利用するケースも同様でしょう。
暗号化など、様々な対策はなされていますが、技術は完璧ではありません。
また、どこかで人が介在する部分があるのであれば、
結局は見られてしまうリスクは避けられません。
それこそ、管理者権限があれば・・・という話に通じてしまいます。
そんなことを言ったら、何もできなくなる・・・
スピードや低コストが必要な時代。
便利なサービスを使わないとそれはそれで競争力が落ち、負けてしまいます。
どこまでリスクを取るのか。
絶対に守らなければならないものは何なのか。
セキュリティレベルを上げる方法は、様々あります。
例えば、冒頭のYouTube話の場合、
違う形の仕組みを使う・作ればよいのです。
何もイチから作る必要はありません。
配信前に動画内容の流出を防ぎたいのであれば、
配信のインフラはクラウドやCDNをうまく活用し、
動画自体は配信タイミングまで外に出ないようにすればよいわけです。
ストレージにあるデータが流出すると高いリスクがあるのであれば、
自社内にNASを設置するなどして使えばよいのです。
リスクの度合いと、コストとのバランス。
それらを判断しながら事業をしていくことが
これからの時代、ますます大切になるでしょう。
IT(道具)に、事業を邪魔されることほど
悲しいことはありません・・・
(現在、大企業での大型システムトラブルも続いておりますが・・・
こうしたお話は、また別の機会に。)
メルマガ『Professional's eye』
"意見が持てる"デジタルコラム
週1回配信、3分で楽しめます。
送信いただいた時点で「Privacy Policy」に同意したとみなします。
広告を含むご案内のメールをお送りする場合があります。
