2022年6月25日土曜日

尼崎市のUSBメモリー紛失事件からの教訓

このエントリーをはてなブックマークに追加
Pocket

兵庫県尼崎市の外部委託業者の社員が、USBメモリーを用いた住民情報データ移管作業後に、データが入ったUSBメモリーを持ったまま居酒屋に行き泥酒、路上で寝込んだ上にUSBメモリーが入ったかばんを紛失する事件は、かばんと一緒に無事発見された*1。かばんの発見状況からデータ漏洩のリスクは小さく、このまま話は終息すると思われる。

勤務先のデータ管理が不安になる人もいるようだが、今回のような事件への対処は教科書的にできる。

  1. BitLockerやVeraCryptのような強度のある*2暗号化ツールを用いる*3
  2. 顧客データが入ったストレージを持って直帰禁止
  3. 作業従事者と管理監督者を分けた二人体制
  4. 紛失してしまったら諦めて隠さず関係各所に連絡
  5. 泥酔して路上で寝ない人間を採用する
  6. USBメモリーにスマートタグをつけておく

殆どの事業所は実施済みだと思うが、(1)と(2)はすぐに出来る。(1)でどれぐらい情報漏えいが防げるかだが、米連邦捜査局(FBI)は突破できないらしいので*4、相手がアメリカ国家安全保障局(NSA)でも無ければ安全だ。

(3)はやっておけと言うか、今回の事件、同僚4名と飲んでいたらしいので、組織として相互監視を強くする必要がある。「うちらは先に飲みはじめるから、田中と佐藤はさっさとUSBメモリーを事務所に置いてこい。」と言い放つ勇気が要る。

泥酔して路上で寝ない人間を採用するのが望ましいが、泥酔して公園で裸になるIT系企業の偉いおっさんの存在が脳裏に浮かぶ。USBメモリーにスマートタグをつけておくダメ人間ソリューションの方が現実的かもだ。Bluetoothの有効距離に限られるので実用性は謎で、スマホごと無くしそうではあるが。

ところで外部ストレージの利用を原則禁止にしているところは多く、とくに金融系では特にUSBメモリーは事前申請がないと持ち込み禁止のデータセンターが殆どだと思うが、データ移管作業でネットワークを通すと別のリスクが無いわけではないので、全面禁止はやめておこうと言うか、やめてください。

*1紛失の尼崎のUSBメモリー発見、かばんと一緒に 46万人分の情報:朝日新聞デジタル

*2暗号化ZIPファイルはその辺のPCですぐに突破されると考えるべし。

*3この安全策は今回の外部委託業者もとっていたそうだ。

*4関連記事:TrueCryptは安全!FBIの暗号解読を防ぎ切る

0 コメント:

コメントを投稿