セキュリティの論点

ベネッセ情報流出から考える--権限を持つ社員の犯行をいかに防ぐか

中山貴禎(ネットエージェント) 2014年07月31日 07時00分

  • このエントリーをはてなブックマークに追加

 ベネッセコーポレーションにて先日発生した、外部委託会社や契約社員による大規模情報流出事件が連日世間を騒がせています。事件に関連した考察や企業側の視点でこうした事例の予防・回避策、被害者側からの視点でこうした事件から自分の身を守る方法などなど、さまざまに報道されています。

 本件の概要などについては他でもさんざん語られていますし、未解明の部分も少なくないため、ここでは触れません。ここから先は、技術的に少々気になった点と、本質的に考えなくてはならないことを執筆します。

技術的観点

 内部からの情報流出では、例えばUSBメモリのような「データ記憶に特化したデバイス」ではなくて、例えばデジタルカメラであったりスマートフォンであったり、どちらかというと「外部のデータを転送し保存することも可能な」デバイス、要するに本来は別の目的で作られたデバイスをデータ持ち出しに使われた事例が少なからずあります。

 こうした事例で問題視すべき点は大きく分けて2つあります。まず1つ目は、こうしたデバイスは携帯性が高い上に明確な用途が存在するため、それを見かけてもすぐに情報流出につながるイメージに直結しにくく、USBメモリのような「データ記憶に特化したデバイス」よりも現場に持ち込みやすい、警戒されにくいという点が挙げられます。

 いかにも「充電してます」といった体で、スマートフォンやタブレットをUSBケーブルでPCに挿す行為など、堂々とやられると逆に怪しまれにくいといったケースもあるのではないでしょうか。こうした心理的な脆弱性を意図的に突く行為は、監視する側の意識がテクノロジに寄りすぎるとはまりやすい落とし穴ともなりがちです。

 そしてもう1つ、一般的にUSBメモリのような外部記憶デバイスは、PCとの接続の際にPCのOSがデバイスのファイルシステムを直接操作するUSBマスストレージクラス(USB Mass Storage Class:MSC)という規格で接続されます。ただ、この規格はデバイス側が自律的に動作して内容を書き換える可能性を考慮していません。

 そのため、前述のデバイスのようにそれ自体が1つのコンピュータであるようなデバイス類は、PCとの接続の際にMSCではなく画像転送プロトコル(Picture Transfer Protocol:PTP)やメディア転送プロトコル(Media Transfer Protocol:MTP)というプロトコルを用いてファイルを転送するのが一般的です。

 タブレットや音楽プレイヤーなども同様ですが、このPTP/MTP方式は、例えばWindowsではWindows Portable Devices(WPD)と認識されるのですが、基本的にOS側で元々持っているので接続時にドライバの別途インストールが不要、という本来の用途に合致した利便性に優れる規格となっています。

 この規格はセキュリティ的にはハードルとなる場合があります。MSCで接続されたデバイスはリムーバブルディスクとして扱われるので、PC側のOSがデバイスのファイルの制御を担います。しかしPTP/MTPでは、デバイス側で動作しているOSがデバイスのファイルシステムを管理し、PCはファイル単位で送受信するに過ぎません。

 USBメモリなどのUSBマスストレージとは異なる規格のデバイスと認識される前述のデバイス類は、当然ながらUSBマスストレージの使用制限では排除できません。PC接続の際にドライバインストールが不要なデバイスなのでそこから制限をかけられません。こうしたPTP/MTPデバイスの存在を考慮した対応を実装していないセキュリティツールでは、デバイスのPCへの接続を管理できない事態につながります。

 デバイス制御ツールを導入しているから安心だと考えている管理者は、そのツールがこうしたPTP/MTPデバイスの使用制限に対応しているかどうか、今一度確認しておくことをおすすめします。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化