USBメモリの紛失事件から考える防止策

公開日:

更新日:

倉 健祐(セキュリティ企画課)

目次

2022年6月にUSBメモリの紛失事件が発生

2022年6月頃、ある地方自治体でUSBメモリを紛失したインシデント発生が発表されました。

紛失したUSBメモリの中には、全市民(50万人弱)の名前や生年月日など住民基本台帳の情報が記録されており、委託業者の再々委託先の作業員A氏が持ち出したまま飲酒し路上で就寝、起きた時には鞄ごと紛失するといった事件のあらましでした。

また、会見の際には、USBメモリには暗号化処理が行われておりパスワードも設定されている、との報告がありましたが、後日の会見でそのパスワードの文字桁数を明かしていたことにより、Twitter上でパスワードが推測されるなど話題になりました。

この報告からは様々な問題点が浮かび上がってきました。

USBメモリ紛失事件の問題点

<問題点>

  • 作業員A氏は地方自治体の許可を得ずにデータを持ち出していた。
    (作業員A氏は、承認が必要であることを認識していなかった)
  • 作業員A氏はデータを抽出するためのID、パスワードを知っていた。
  • 規則上、職場では入退室管理を行っていたが、データ持ち出しの際には立会していなかった。また、データの運搬方法について指定していなく、USBで搬送することを把握していなかった。
  • 作業員A氏はデータの搬送に配送会社のセキュリティ便などの手段を用いなかった。(過去には利用していた)
  • 作業員A氏はコールセンターでのデータ更新作業完了後、USBメモリからデータ消去をしなかった。(本来であれば速やかに消去すべきであったが、委託先社員も気づいていたものの注意しなかった)
  • 会見に臨んだ地方自治体の職員がパスワードを類推されてしまうような不用意な発言をしてしまった。

事前にルールを決めていたとしても、それを実際に遂行するのは人間です。人間が行なうことにミスはつきものであり、行われた操作が情報漏洩に繋がることもあり得ます。

また、システム管理者が悪意をもって情報漏洩行為を行うことも考えられます。人間の行為をシステムが制限、または補正することでルールに則って安全な利用を促すとともに、悪意のある情報漏洩行為を防ぐことが可能になります。

せめてどこかにシステム的な防波堤があればこのようなことにならなかったのではないでしょうか。今回の事件で見えた課題、対策を考え、課題を運用面とシステム面とに分けて、それぞれの対策例を挙げてみました。

USB紛失事件から考える課題と対策(運用・システム面)

課題

<運用面>

(a)コンプライアンス遵守意識の低さ、ガバナンスの不徹底
(b)ITリテラシー、セキュリティ意識の低さ
(c)紛失に気付いた後の不適切な行動
(d)会見での不用意な発言

<システム面>

(e)データの外部持ち出し(USBメモリへの書き出し)が承認されなくても実施できてしまう
(f)暗号化強度に関する懸念がある
(g)データの抽出(システムへのアクセス)に用いるID・パスワードが自由に使えてしまう

対策例

<運用面>

(a)契約条件の精査、および履行状況の監査
(b)作業開始前のプロジェクト従事者への教育の実施(e-ラーニング等)
(c)体制図・連絡網の周知徹底
(d)ITリテラシーに関する教育の実施

<システム面>

(e)セキュリティソフト(情報漏洩対策ソフト)によるUSBメモリの接続やファイル書き出しの制限・許可
(f)暗号化機能の活用
(g)特権ID管理ソフトによる特権ID利用の管理・制限・監査

情報漏洩対策、特権ID管理ができるシステムで対策

運用面への対策としては教育や監査など、人によるルールの順守徹底が主な手段となりますが、システム面への対策では特定の操作を禁止する、暗号および復号の仕組みを整備する、異常を把握する、などシステムによって制御、牽制、抑止、発見することによって未然に情報漏洩に繋がる行為を防ぐことが可能になります。

当社では、上記で挙げたシステム面の課題に対して、
①情報漏洩対策ソフト「CWAT」(シーワット)
②特権ID管理ソフト「CyberArk」(サイバーアーク)
をご提案しています。

①CWAT

  • 許可されたユーザー/端末で無いとUSBメモリに書出しできないようにする。
  • 暗号化していないとUSBメモリに書出しできないようにする。
  • 書出し操作をした際にリアルタイム警告を発信し管理者に通知する。
  • CWATが稼働していないと暗号/復号できないようにする。
    暗号/復号操作はCWATでログに記録している。
  • 自己複合型暗号化ファイルを作成できる

(ア)暗号化ファイル内にパスワードの正解を持たせておらず、入力されたパスワードが合っていようがいまいがファイルを復号するのでブルートフォースアタックにも強く、復号されたファイル内容が正しいかどうかは人の目で判断する必要があるためパスワード解析の自動実行対策にも強い。
(イ)暗号化ファイル作成時に下記の制限を付与することができる。
   ・復号回数制限
   ・復号期限(年月日)

②CyberArk

  • 特権IDのパスワードを定期的に変更し、使いまわしを防ぐ。
  • 特権IDの利用管理(承認・申請ワークフロー)により、未承認の利用を防ぐ。
  • 特権ID操作の録画・ログを取得し、具体的な操作内容を把握する。
  • 承認されたユーザが、不正を働こうとした際に作業を強制停止できるライブセッションモニタリング。
  • 特権ID利用レポートによる監査を行い、申請と利用の実績から異常を発見する。

疑問点やご質問などがありましたら、ぜひお気軽にご相談ください。