ベネッセコーポレーションにて先日発生した、外部委託会社や契約社員による大規模情報流出事件が連日世間を騒がせています。事件に関連した考察や企業側の視点でこうした事例の予防・回避策、被害者側からの視点でこうした事件から自分の身を守る方法などなど、さまざまに報道されています。
本件の概要などについては他でもさんざん語られていますし、未解明の部分も少なくないため、ここでは触れません。ここから先は、技術的に少々気になった点と、本質的に考えなくてはならないことを執筆します。
技術的観点
内部からの情報流出では、例えばUSBメモリのような「データ記憶に特化したデバイス」ではなくて、例えばデジタルカメラであったりスマートフォンであったり、どちらかというと「外部のデータを転送し保存することも可能な」デバイス、要するに本来は別の目的で作られたデバイスをデータ持ち出しに使われた事例が少なからずあります。
こうした事例で問題視すべき点は大きく分けて2つあります。まず1つ目は、こうしたデバイスは携帯性が高い上に明確な用途が存在するため、それを見かけてもすぐに情報流出につながるイメージに直結しにくく、USBメモリのような「データ記憶に特化したデバイス」よりも現場に持ち込みやすい、警戒されにくいという点が挙げられます。
いかにも「充電してます」といった体で、スマートフォンやタブレットをUSBケーブルでPCに挿す行為など、堂々とやられると逆に怪しまれにくいといったケースもあるのではないでしょうか。こうした心理的な脆弱性を意図的に突く行為は、監視する側の意識がテクノロジに寄りすぎるとはまりやすい落とし穴ともなりがちです。
そしてもう1つ、一般的にUSBメモリのような外部記憶デバイスは、PCとの接続の際にPCのOSがデバイスのファイルシステムを直接操作するUSBマスストレージクラス(USB Mass Storage Class:MSC)という規格で接続されます。ただ、この規格はデバイス側が自律的に動作して内容を書き換える可能性を考慮していません。
そのため、前述のデバイスのようにそれ自体が1つのコンピュータであるようなデバイス類は、PCとの接続の際にMSCではなく画像転送プロトコル(Picture Transfer Protocol:PTP)やメディア転送プロトコル(Media Transfer Protocol:MTP)というプロトコルを用いてファイルを転送するのが一般的です。
タブレットや音楽プレイヤーなども同様ですが、このPTP/MTP方式は、例えばWindowsではWindows Portable Devices(WPD)と認識されるのですが、基本的にOS側で元々持っているので接続時にドライバの別途インストールが不要、という本来の用途に合致した利便性に優れる規格となっています。
この規格はセキュリティ的にはハードルとなる場合があります。MSCで接続されたデバイスはリムーバブルディスクとして扱われるので、PC側のOSがデバイスのファイルの制御を担います。しかしPTP/MTPでは、デバイス側で動作しているOSがデバイスのファイルシステムを管理し、PCはファイル単位で送受信するに過ぎません。
USBメモリなどのUSBマスストレージとは異なる規格のデバイスと認識される前述のデバイス類は、当然ながらUSBマスストレージの使用制限では排除できません。PC接続の際にドライバインストールが不要なデバイスなのでそこから制限をかけられません。こうしたPTP/MTPデバイスの存在を考慮した対応を実装していないセキュリティツールでは、デバイスのPCへの接続を管理できない事態につながります。
デバイス制御ツールを導入しているから安心だと考えている管理者は、そのツールがこうしたPTP/MTPデバイスの使用制限に対応しているかどうか、今一度確認しておくことをおすすめします。
