兵庫県尼崎市の外部委託業者の社員が、USBメモリーを用いた住民情報データ移管作業後に、データが入ったUSBメモリーを持ったまま居酒屋に行き泥酒、路上で寝込んだ上にUSBメモリーが入ったかばんを紛失する事件は、かばんと一緒に無事発見された*1。かばんの発見状況からデータ漏洩のリスクは小さく、このまま話は終息すると思われる。
勤務先のデータ管理が不安になる人もいるようだが、今回のような事件への対処は教科書的にできる。
- BitLockerやVeraCryptのような強度のある*2暗号化ツールを用いる*3
- 顧客データが入ったストレージを持って直帰禁止
- 作業従事者と管理監督者を分けた二人体制
- 紛失してしまったら諦めて隠さず関係各所に連絡
- 泥酔して路上で寝ない人間を採用する
- USBメモリーにスマートタグをつけておく
殆どの事業所は実施済みだと思うが、(1)と(2)はすぐに出来る。(1)でどれぐらい情報漏えいが防げるかだが、米連邦捜査局(FBI)は突破できないらしいので*4、相手がアメリカ国家安全保障局(NSA)でも無ければ安全だ。
(3)はやっておけと言うか、今回の事件、同僚4名と飲んでいたらしいので、組織として相互監視を強くする必要がある。「うちらは先に飲みはじめるから、田中と佐藤はさっさとUSBメモリーを事務所に置いてこい。」と言い放つ勇気が要る。
泥酔して路上で寝ない人間を採用するのが望ましいが、泥酔して公園で裸になるIT系企業の偉いおっさんの存在が脳裏に浮かぶ。USBメモリーにスマートタグをつけておくダメ人間ソリューションの方が現実的かもだ。Bluetoothの有効距離に限られるので実用性は謎で、スマホごと無くしそうではあるが。
ところで外部ストレージの利用を原則禁止にしているところは多く、とくに金融系では特にUSBメモリーは事前申請がないと持ち込み禁止のデータセンターが殆どだと思うが、データ移管作業でネットワークを通すと別のリスクが無いわけではないので、全面禁止はやめておこうと言うか、やめてください。
*1紛失の尼崎のUSBメモリー発見、かばんと一緒に 46万人分の情報:朝日新聞デジタル
*2暗号化ZIPファイルはその辺のPCですぐに突破されると考えるべし。
*3この安全策は今回の外部委託業者もとっていたそうだ。
0 コメント:
コメントを投稿