前回は、ファイル交換ソフトを取り上げた。今回は、USBメモリ(外部記録媒体)紛失による個人情報流出事件を題材にして、利便性の裏側に潜む個人情報のリスクを引き続き考えてみたい。
他人事ではない「悪意なき個人情報流出」
5月24日、NTTデータは、社員1万1835人分の個人情報ファイルを記録したUSBメモリを入れたかばんを、同社の社員が紛失したことを公表した。具体的内容については、NTTデータ「当社社員情報紛失について」 に掲載されている。
実は、発覚の1か月前、同社の別の社員の自宅に空き巣が入り、顧客情報2146件を保存したノートパソコンを盗まれるという事件が起こっていた。その対応策として、同社が個人情報管理の強化を発表した矢先に、この事件が起こったのである。
このように、日本最大手のSI企業であるNTTデータでも、紛失、盗難、うっかりミスなど、ツールの使いやすさと危機意識の低さに起因する「悪意なき個人情報流出」が顕在化しているのだ。
プラグ&プレイ機能は便利だがリスクも大きい
キーボード、マウス、プリンタ、外付けドライブなどの周辺機器をパソコンのUSB端子経由で接続すると、OSが内部にあるドライバを自動的に検出・設定してくれるのが、プラグ&プレイ機能だ。この機能を活用した外部記録媒体がUSBメモリであり、パソコンのUSB端子に差し込むだけで、簡単に大容量のファイルを受渡しできるようになったのである。
このプラグ&プレイ機能の普及とともに、PS/2ポートという独自の端子で接続していたキーボードやマウスも、USB端子経由での接続が普通になってきている。この機能は、便利さや簡単さの面で、それほどのインパクトがあったのである。
使いやすいUSBメモリだが、セキュリティ面ではそれがあだになっている。自由にファイルの受渡しができるということは、誰でもファイルの中身をのぞけることを意味する。
また、コンパクトな形状だと、紛失しても気付きにくい。個人データが記録されたUSBメモリが、丸裸の状態で悪意ある第三者の手に渡ったらどういうことになるか。この手のリスクは昔からあったのだが、個人情報保護法の施行後に、ようやく多くの企業から認識されるようになったようだ。
NTTデータは、再発防止策として、暗号化やアクセス制限機能のないUSBメモリの使用を禁止する旨のルールを定めた。ではSMB(中堅中小企業)はどうだろうか。多くの企業では、いまだに丸裸状態のUSBメモリで、データやファイルの受渡しが日常的に行われている。社内におけるUSBメモリの利用状況すら把握できていないようだと、NTTデータのような事件がいつ起こってもおかしくない。
できることから始めよう、USBメモリのへの対策
実は、個人認証、暗号化、データ完全削除機能など、技術的対策を施したUSBメモリが発売されている。また、サーバーにインストールするだけで、クライアントPCからUSBメモリなど外部記録メディアへのファイル書き出しを禁止するソフトウエアも登場している。
しかし、前者については、通常の商品と比べて割高感は否めない。後者のソフトを利用する場合も、全てのUSB端子の使用を制限すると、キーボードやマウスが使えなくなるパソコンもある。旧タイプのPS/2ポートを装備したパソコンを指名買いする企業もあるくらいだから、注意が必要だ。
新技術の導入なしに、セキュリティ強度を上げる方法はある。例えば、USBメモリに保存するファイル自体に、パスワード認証などの制限を設けておくのも1つの方法だ。
またパソコンの「\Windows\infフォルダ」内をチェックして、USBメモリとのプラグ&プレイの互換性を制限することもできる。ここには、「.inf」「.pnf」など、周辺機器のドライバを設定するのに必要なWindowsファイルが格納されている。フォルダ内の該当ファイルを削除してプラグ&プレイを無効化すれば、USBメモリを差し込んでも自動認識できなくなる。初心者向けの対策として有効だ。
とにかく、紛失や盗難に気付いてからでは手遅れなので、すべて番号を付与して管理するなど、早めの対策が必要だ。
次回は、同じようなリスクを抱えるパソコンに話題を移してみたい。
日経BP社 2005年7月20日
Link
他人事ではない「悪意なき個人情報流出」
5月24日、NTTデータは、社員1万1835人分の個人情報ファイルを記録したUSBメモリを入れたかばんを、同社の社員が紛失したことを公表した。具体的内容については、NTTデータ「当社社員情報紛失について」 に掲載されている。
実は、発覚の1か月前、同社の別の社員の自宅に空き巣が入り、顧客情報2146件を保存したノートパソコンを盗まれるという事件が起こっていた。その対応策として、同社が個人情報管理の強化を発表した矢先に、この事件が起こったのである。
このように、日本最大手のSI企業であるNTTデータでも、紛失、盗難、うっかりミスなど、ツールの使いやすさと危機意識の低さに起因する「悪意なき個人情報流出」が顕在化しているのだ。
プラグ&プレイ機能は便利だがリスクも大きい
キーボード、マウス、プリンタ、外付けドライブなどの周辺機器をパソコンのUSB端子経由で接続すると、OSが内部にあるドライバを自動的に検出・設定してくれるのが、プラグ&プレイ機能だ。この機能を活用した外部記録媒体がUSBメモリであり、パソコンのUSB端子に差し込むだけで、簡単に大容量のファイルを受渡しできるようになったのである。
このプラグ&プレイ機能の普及とともに、PS/2ポートという独自の端子で接続していたキーボードやマウスも、USB端子経由での接続が普通になってきている。この機能は、便利さや簡単さの面で、それほどのインパクトがあったのである。
使いやすいUSBメモリだが、セキュリティ面ではそれがあだになっている。自由にファイルの受渡しができるということは、誰でもファイルの中身をのぞけることを意味する。
また、コンパクトな形状だと、紛失しても気付きにくい。個人データが記録されたUSBメモリが、丸裸の状態で悪意ある第三者の手に渡ったらどういうことになるか。この手のリスクは昔からあったのだが、個人情報保護法の施行後に、ようやく多くの企業から認識されるようになったようだ。
NTTデータは、再発防止策として、暗号化やアクセス制限機能のないUSBメモリの使用を禁止する旨のルールを定めた。ではSMB(中堅中小企業)はどうだろうか。多くの企業では、いまだに丸裸状態のUSBメモリで、データやファイルの受渡しが日常的に行われている。社内におけるUSBメモリの利用状況すら把握できていないようだと、NTTデータのような事件がいつ起こってもおかしくない。
できることから始めよう、USBメモリのへの対策
実は、個人認証、暗号化、データ完全削除機能など、技術的対策を施したUSBメモリが発売されている。また、サーバーにインストールするだけで、クライアントPCからUSBメモリなど外部記録メディアへのファイル書き出しを禁止するソフトウエアも登場している。
しかし、前者については、通常の商品と比べて割高感は否めない。後者のソフトを利用する場合も、全てのUSB端子の使用を制限すると、キーボードやマウスが使えなくなるパソコンもある。旧タイプのPS/2ポートを装備したパソコンを指名買いする企業もあるくらいだから、注意が必要だ。
新技術の導入なしに、セキュリティ強度を上げる方法はある。例えば、USBメモリに保存するファイル自体に、パスワード認証などの制限を設けておくのも1つの方法だ。
またパソコンの「\Windows\infフォルダ」内をチェックして、USBメモリとのプラグ&プレイの互換性を制限することもできる。ここには、「.inf」「.pnf」など、周辺機器のドライバを設定するのに必要なWindowsファイルが格納されている。フォルダ内の該当ファイルを削除してプラグ&プレイを無効化すれば、USBメモリを差し込んでも自動認識できなくなる。初心者向けの対策として有効だ。
とにかく、紛失や盗難に気付いてからでは手遅れなので、すべて番号を付与して管理するなど、早めの対策が必要だ。
次回は、同じようなリスクを抱えるパソコンに話題を移してみたい。
日経BP社 2005年7月20日
Link
