ウイルス(マルウェア)メールを開くな、というのは簡単。実際に開かれないようにするのは難しい。であるならば、開かれても問題ないようなシステム運用をすべき、というのが基本的な考え方。
Winnyでの情報流出もそうなんだけど、機密データを扱うシステムがオープンかつ別の用途でも使用する(特に事務やお遊び)という時点でセキュリティー強度は0に等しい。
機密データは物理的に外に結線されていないローカルのネットワークにのみ構築し、外部とのやりとりは十分に管理された媒体授受でのみ行う(昔はだいたいこうだった)ことがセキュリティーだけを考えると理想なんだけど、そういうシステムのデータ運用コストがバカにならないこと、どの道インターネットに公開しなければ業務が成り立たなくなっていることなどからそういったシステムは廃れつつある。で、猫も杓子も判で押したようなシステムを構築(時代はウェブ化ですよ、的な)した結果、普段使いのインフラ内に機密データを抱えることになっちゃった。
でも、普段使いのインフラがインターネットを通じて完全に世界と一体化し始めた段階で、リスクアセスメントをきっちりしていないシステムは今回起きたようなリスクを抱えている。すなわち、ゼロセキュリティー時代の到来である。
ウイルスメールを開いてしまった場合に問題が無いシステムを構築するのはコスト面では結構大変に思える。一方、普段使いのネットワーク上に機密データをおいて運用することも高度な専門知を要求することが多く、高コストである。システムは人が運用するし、人はミスを犯すものだ。完璧なフールプルールには莫大な投資が必要であるし、人の教育についても同様である。
この話、大半の会社・役所にとって他人事では全然ない。