ベネッセコーポレーションの顧客情報流出事件が連日報道されていますね。
USBメモリはエラーがでて使えないのに、スマホのUSB充電がきっかけでセキュリティーホールを見つけたという~ まさに「頭隠して尻隠さず」とはこの事~
データベースなど極秘情報を扱う端末(PC)は、DVDドライブやUSB端子のケーブルを外して無効にし、スマホや記録媒体の持込みを禁止する~これだけの対応で今回の個人情報流出は防げた。セキュリティのプロでなくても、日ごろからPCに携わっているものなら最低限度このくらいは気がつく。
最近のスマホはMTPモードでUSB端子に接続すれば、ドライバーをインストールすることなくストレージ(リムーバブルディスク)として認識されます。(iPhoneはアプリのインストで可能) 逮捕された元SEはそれを利用して顧客情報をスマホにコピーしたという訳です。 ちなみにMTPはTCP/IP上で動作するので無線LANでの利用も可能。
しかし、最近のマウスやキーボードは有線/無線問わずUSB接続なので端子をゼロには出来ません。
LAN端子からもストレートケーブルを使えばコピー可能。 セキュリティ環境の緩いところであれば物理的なホールも色々あるのです。
企業でのアクセス権は、組織・部署・責任度によりログインできる範囲は社員によって違うし、重要度の高い情報になるほど、複数の人間が絡む仕組みになっているものです。 端末のアクセスや操作ログの監視がなされておれば、今回のような不正操作やアクセスすればすぐバレてしまいます。 企業のセキュリティは、物理的・論理的に何重にもセキュリティを施しているものなのです。
昨今個人情報の扱いはどこの企業も神経質になっているのに、外部委託のひとりのSEにより、いとも簡単に最大級の極秘個人情報にアクセスできて、コピーまで出来るなんてザルもいいところです。 しかもお客からの指摘がきっかで漏洩に気がつくというお粗末~ 委託業者(シンフォーム)の不始末とは言え、ベネッセのセキュリティ管理責任は大きいと思います。 原田さんの言う200億円ではすまないかも~