大規模情報漏洩事件の教訓

コラムカテゴリー:

 7月に発覚した大手教育事業会社からの個人情報漏洩事件により、経済産業省が対応に動いたり、個人情報保護法改正がとりざたされたりと、その影響は社会的にも大きくなっています。

 本事件に関する報道によると、データ漏洩経路に関しては以下のような状況だったようです。

 ・業務用に貸与されたPCから大量のデータを、USB接続した私物スマートフォンにコピーして持ち出していた。
 ・PCはUSBメモリへのデータ書込不可の設定だったが、最新のスマートフォンにはなぜか書込ができてしまった。

 なぜこのようなことになってしまったのでしょうか。

 USBメモリへの書込不可に設定されていたとされていますが、おそらく「USBマス ストレージ」として認識するデバイスへの書込が禁止されていたと考えられます。「USBマスストレージ」とは、パソコン側からDiskドライブとして認識される接続形式です。

 一方、Android(3.1以降)のスマートフォンはポータブルメディアデバイス(音楽プレイヤー等)として接続する「MTP(Media Transfer Protocol)」や、デジタルカメラとして接続する「PTP(Picture Transfer Protocol)」という接続形式で接続可能です。

 おそらく、本事件の舞台となったPCでは、MTPやPTPが書込禁止対象として設定されていなかったと推測されます。

 では、なぜMTPやPTPといった接続が禁止対象から漏れてしまったのでしょうか。Android3.1が世に出た数年前までは、MTPで接続する機器も少なく、そもそもそのような接続形式が認識されていなかった、と考えられます。また、PTPはあくまでもデジタルカメラを接続するためのものであり、大容量ストレージのように利用されて情報漏洩につながるとは認識されていなかったのではないでしょうか。

 数年前の時点では「MTP/PTPについては考慮不要」としていたことが妥当であったとしても、スマートフォンが普及した今日では不適切といえるでしょう。スマートフォンという新たなデバイスが普及したにも関わらず、デバイスの制御に関する見直しがされていなかったのであれば、そこに問題があります。

 技術や環境の進化・変化は早く、ある時期には妥当だった状況が、数か月後には不適切になる、ということがありえます。
 スマートフォンの普及をはじめとするデバイスの多様化や、各種クラウドサービスの発展、法令や社会規範の変更など、情報をとりまく環境は日々、変化しています。それらの環境変化に対応して、必要な対策ができているかどうかを検証する、という作業が定期的に必要です。

 今回の事件から得られる一つの教訓として、
「急速に進化・変化する環境に対して遅れをとらないように、自社の対応状況の妥当性を定期的に検証することが重要」
 ということを挙げさせていただきます。

 そのなかでは、データベースアクセス権限付与の妥当性、デバイス制御の妥当性といった項目はもちろんのこと、設定ミスや誤操作による情報漏洩が発生しないシステムになっているか、内部統制が機能する業務フロー・体制は適切に整備されているか、といった観点も必要です。

 なお、本事件では故意による情報漏洩でしたが、個人情報漏洩インシデントの原因の約9割は、設定ミスや誤操作といった過失が占めているとも言われます。故意・過失によらず、情報漏洩を未然に防ぐための取り組みが求められます。

2014年8月17日
青山システムコンサルティング株式会社

関連サービス

システムアドバイザリーサービス
システム監査
ITインフラクリニック

2014年08月17日 (日)

青山システムコンサルティング株式会社

十亀淳