また、インターネットの個人への普及は、セキュリティを破る方法を流すアンダーグランドなサイトヘの接続も容易にし、組織内部から入手した方法でこれを試みることも簡単である。
なまじ知識をもった職員がHUBを勝手に増設したり、適当なアドレスやユーザ名を設定した個人所有のパソコンを接続したりすることは、頻発しているはずである。
3 蓄積データ中心の管理からデータの流れを考慮した管理へ
「ストック(蓄積された)情報」中心のセキュリティ管理から、「フロー(流れている情報)」をも管理の対象としてとらえなければならない。これまでのセキュリティ管理はどちらかといえば媒体に固定されたデータ、例えば「データ管理規定」として磁気テープやフロッピーディスクの取り扱いを中心に述べたものであった。
しかし、これもデータの発生から蓄積、利用の過程で起こるすべての「流れ」を想定した管理、つまりネットワーク上での動態にも細心の注意を払わなければならない。盗聴は不用意なHUB装置の増設で起こることが多いし、アウトソーシング先のデータの流れをどのように縛るかを考えなければならない。
4 具体的な脅威の場面設定
以下のケースは、ヒアリングを実施した地方公共団体において、当該地方公共団体がインターネットに接続を完了した時点から現在まで過去約6年間において実際に発生した事件(Incident)である。
(1)ケース1
「部門A(イントラネットに接続済)が独自にプロバイダと契約をしてホームページを公開したい」と管理者に連絡してきた。
(2)ケース2
「組織内のネットワークは遅い、個別の部署の既存電話からモデムを通じてダイアルアップで接続したい(してしまっている)がこれでよいか」との問い合わせがあった。