セキュリティの論点

ベネッセ情報流出から考える--権限を持つ社員の犯行をいかに防ぐか

中山貴禎(ネットエージェント) 2014年07月31日 07時00分

  • このエントリーをはてなブックマークに追加

 ベネッセコーポレーションにて先日発生した、外部委託会社や契約社員による大規模情報流出事件が連日世間を騒がせています。事件に関連した考察や企業側の視点でこうした事例の予防・回避策、被害者側からの視点でこうした事件から自分の身を守る方法などなど、さまざまに報道されています。

 本件の概要などについては他でもさんざん語られていますし、未解明の部分も少なくないため、ここでは触れません。ここから先は、技術的に少々気になった点と、本質的に考えなくてはならないことを執筆します。

技術的観点

 内部からの情報流出では、例えばUSBメモリのような「データ記憶に特化したデバイス」ではなくて、例えばデジタルカメラであったりスマートフォンであったり、どちらかというと「外部のデータを転送し保存することも可能な」デバイス、要するに本来は別の目的で作られたデバイスをデータ持ち出しに使われた事例が少なからずあります。

 こうした事例で問題視すべき点は大きく分けて2つあります。まず1つ目は、こうしたデバイスは携帯性が高い上に明確な用途が存在するため、それを見かけてもすぐに情報流出につながるイメージに直結しにくく、USBメモリのような「データ記憶に特化したデバイス」よりも現場に持ち込みやすい、警戒されにくいという点が挙げられます。

 いかにも「充電してます」といった体で、スマートフォンやタブレットをUSBケーブルでPCに挿す行為など、堂々とやられると逆に怪しまれにくいといったケースもあるのではないでしょうか。こうした心理的な脆弱性を意図的に突く行為は、監視する側の意識がテクノロジに寄りすぎるとはまりやすい落とし穴ともなりがちです。

 そしてもう1つ、一般的にUSBメモリのような外部記憶デバイスは、PCとの接続の際にPCのOSがデバイスのファイルシステムを直接操作するUSBマスストレージクラス(USB Mass Storage Class:MSC)という規格で接続されます。ただ、この規格はデバイス側が自律的に動作して内容を書き換える可能性を考慮していません。

 そのため、前述のデバイスのようにそれ自体が1つのコンピュータであるようなデバイス類は、PCとの接続の際にMSCではなく画像転送プロトコル(Picture Transfer Protocol:PTP)やメディア転送プロトコル(Media Transfer Protocol:MTP)というプロトコルを用いてファイルを転送するのが一般的です。

 タブレットや音楽プレイヤーなども同様ですが、このPTP/MTP方式は、例えばWindowsではWindows Portable Devices(WPD)と認識されるのですが、基本的にOS側で元々持っているので接続時にドライバの別途インストールが不要、という本来の用途に合致した利便性に優れる規格となっています。

 この規格はセキュリティ的にはハードルとなる場合があります。MSCで接続されたデバイスはリムーバブルディスクとして扱われるので、PC側のOSがデバイスのファイルの制御を担います。しかしPTP/MTPでは、デバイス側で動作しているOSがデバイスのファイルシステムを管理し、PCはファイル単位で送受信するに過ぎません。

 USBメモリなどのUSBマスストレージとは異なる規格のデバイスと認識される前述のデバイス類は、当然ながらUSBマスストレージの使用制限では排除できません。PC接続の際にドライバインストールが不要なデバイスなのでそこから制限をかけられません。こうしたPTP/MTPデバイスの存在を考慮した対応を実装していないセキュリティツールでは、デバイスのPCへの接続を管理できない事態につながります。

 デバイス制御ツールを導入しているから安心だと考えている管理者は、そのツールがこうしたPTP/MTPデバイスの使用制限に対応しているかどうか、今一度確認しておくことをおすすめします。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算