infoMode

情報セキュリティからテクノロジー、お役立ち情報などを発信します。

有権者情報漏えいの大阪府堺市、再発防止策は”空きUSBポートを全て埋める”

再発防止に取り組み、結果を公表するのは素晴らしい

昨年大阪府堺市で、実に60万人以上となる有権者の連絡先などの個人情報が漏えいしてしまいました。実際には内部からの流出、つまり職員である男性が自身の外付けハードディスクを利用して、家のパソコンに持ち帰る。

そしてそこから流出事件を引き起こしてしまいました。だからあれだけ業務ファイルは家に持ち帰っちゃダメだって言われてるのに。

スポンサーリンク

 

 

市は8日、職員が勝手に情報を取り出せなくするため、住民情報を扱う部署のパソコン約1千台のUSB接続口をふさいだことを明らかにした。専用の鍵がないと外せないという。

PC1千台、USB接続口ふさぐ 堺市、情報流出で対策 (朝日新聞デジタル) - Yahoo!ニュース

しかし、確かにこの対応で外付けハードディスクを繋げることはできなくなっている、つまり同様の事故が発生する可能性は、多少低くなってはいます。惜しいのが、対策が必要十分ではない点ですね。

再発防止策は、もっと包括的に行うべきもの

堺市は情報漏えいの被害にありピンチに陥ってしまいましたが、一方で情報セキュリティを全体的な観点から見直すというチャンスに恵まれたとも言えます。そこで行うことが、果たしてUSBポートに鍵をかける、で良いのでしょうか。

例えば今時外付けハードディスクはwi-fiで接続できるようなものも多数現れています。もしwi-fiのつなぎ先を団体が監視していなかったとしたら、従業員はその外付けハードディスクを鞄の中に入れたまま、パソコンからアクセスして必要なデータをコピーすることができたでしょう。

万が一そのHDDが見つかったところで、”いや、スマホで使うんです”とごまかされればそれでおしまいになってしまいます。

他にも600台近くをソフト的にUSBを使えなくしているようですが、ちょっと順序が違うでしょう。USBを通して流出したからUSBに対策する、じゃ意味がないんです。流出したから、情報の流出経路を全部洗って現在のセキュリティを見直す、まで行って初めて再発防止策です。

例えば、有権者情報が漏れるルートとして

内部からのリーク

・従業員によるデータ持ち出し

 →PCに接続されるデバイスを監視する/データの流れを監視するソフト利用

・従業員によるリーク

 →コンプライアンス教育の徹底

・従業員によるデータ管理ミス/誤操作(ケアレスミス)

 →告知などを通じた地道な意識改革運動。

外部からの情報盗難

・不正アクセス

 →より強固なセキュリティウォールの運用、スタンドアローンネットワークの運用

・スパムメールや不正に改ざんされたウェブサイトからの被害

 →意識改革(メール本文中のリンクは飛ばない、怪しいウェブサイトは開かない)

・ダークホテル

 →どうしてもネットを行う必要があるならセーフモードか、せめて管理者権限を持っていないアカウントで。

・外部からの不審なWIFI-NETWORK

 →意識改革(不審なWI-FIには絶対に繋げない)

非常に簡単にいくつか書き出してみましたが、このように考えられる限りありとあらゆる情報の漏えい経路を書き出し、それぞれ一つずつに対して、”迷惑メールは今ちょうど迷惑メールフィルター強化したばかりだからオーケーだな”って確認できればそれはそれで良いでしょう。

このパソコンのウイルス定義ファイルは古いな”とか何か問題が見つかったらすぐに対処(定義ファイルを更新)する。そして他のパソコンで同じ事が起きていないかどうかのチェックを行うというようにシラミつぶしにセキュリティを万全にしていくのが理想なのです。

”何が問題がおきました。その問題はこれが理由でおきました。その理由はもうおきません”。素晴らしいですね、理由まで調べています。でも不十分です。

例えすぐ思いつかなかったとしても、”その他の理由で同じような問題が起こされる可能性はない?”って聞かれて即答できるぐらいまでは自信を持たなきゃいけないんです。(それはないという答えである必要は無い)

とはいえ、堺市の対応は悪くない

前回の情報漏えい事件が発覚したときも、堺市は情報漏えいの事実を隠さず公開した他、どんなデータがどこに漏えいしていて、誰がアクセスした可能性があるかまで素早く調べ上げたあとで適切な処置をとることに成功しています。現に、一連の対応を行った後、堺市への目立った批判は少なくともネット上では見られませんでした。

今回のUSBポートを鍵で塞いで使えなくするというのも、少なくともセキュリティ意識を高めようとしているという点を考えれば非常に意義のあることです。

もちろん、そんなことをしなくたっていくらでもやり方はあるでしょうし、業務員のパソコンでどんなものがUSBポートに接続されたかを調べ上げるセキュリティ監視用ソフトもあります。そんなもん大企業のセキュリティコンサルにでも聞けば一発で出てくるでしょう。

スピーディな事後対応、スピーディな再発防止策の徹底と情報開示が、情報漏えいを起こしてしまった団体の行動・説明責任と言えるでしょう。その内容に多少の物足りなさを感じてしまいますが、今回の堺市の対応、そう悪くないのではないでしょうか。

合わせて読みたい

本事件も以下の記事で紹介しています。

スポンサーリンク