尼崎市USBメモリ紛失事件に関する考察(1)
こんばんは。6月23日に発生した尼崎市USBメモリ紛失事件について自分なりに考察してみます。事件の概要はこちらになります。以下、日経xTECHの記事からです。
「USBメモリ発見≠情報漏洩の心配なし」という点に注意
さて、「USBメモリが無事見つかったからよかったね♪」と楽観的には捉えられない点が厄介です。コピーされてないという保証は現時点ではどこにもありません。(「パスワードが変更されていないから大丈夫」とは断言出来ません。むしろ疑ってかかるぐらいが健全なのかもしれません)
というか、USBメモリ単体でコピー&流出がないことを立証は出来ないと見ています。とりあえず年内一杯ぐらいは警戒して当たるぐらいしかなさそうです。
協力社員の行動に目を奪われていると本質を見失うのではないか説
情報セキュリティの教科書に出て来る典型的な「やってはいけないこと」を連発してくれています。
「この協力会社社員の行動は絶対に許されるべきではない!」というのは当然です。ここにばかりフォーカスしてしまうと、本当に問題だった点を見失います。
ここからもう少し掘り下げて行く必要がありそうです。この協力会社社員のやらかしに関して時系列を遡ると見えてきそうです。
住民基本台帳関係の情報を扱う端末にUSBメモリ接続が許可されていた事実
個人的にはここが根幹にある問題だと見ています。
住基ネットに関しては、調べた限りではUSBメモリ等の可搬記憶媒体が接続出来ない設定になっているようです。
にもかかわらず、協力会社社員が市職員の許可を得ずにコピー出来ていたという点にも問題があります。
ということは、(特定端末のみかもしれませんが)住基ネット系接続端末にUSBメモリ接続及び書き出しを許可する設定になっていたということになります。
業務委託ありきで許可したのではないか説
コールセンターが吹田市にあったことで、市役所側の端末の情報を参照出来ないという理由が大きいのではないかと見ています。
「USBメモリに書き出す際には市職員の許可が必要」とありましたが、今回は無許可だったようです。仮にこれが許可していた状態だったとしたら、市側がかなり叩かれていたことになっていたと推測されます。
ここで問題になるのは、「仮に許可したとしても、市側のコントロールが効かない状態になってしまうことを理解していたのか?」「コントロール出来るような仕組みを事前に構築しておくべきではなかったのか?」という点が気になります。
市側がコントロール出来ない状態に陥ってしまうわけですから、「運用でカバー」は絶対にNGです。
まだまだありますが、続きは改めて。