ベネッセ情報漏えい

ベネッセ顧客名簿漏えい事件から考える情報セキュリティの具体策--後編

岡田靖 2014年09月01日 07時30分

  • このエントリーをはてなブックマークに追加

 前編では、主にデータベースへのアクセスを制御するという観点から、セキュリティ確保の方法を論じた。後編は、データを持ち出させないための仕組みや、組織作りに焦点を当てる。

外部媒体使用禁止は「マスストレージ」以外にも注意

 データを「持ち出させない」対策としては、USBメモリなどの外部記憶媒体を端末で利用できないように禁止するツールのほか、管理区域を設定して記憶媒体の持ち込み、持ち出しを物理的に禁止するといった対策がある。また、今回の事件には該当しないが、ネットワークを介した外部へのコピーに対する備えも求められる。

 この外部記憶媒体の禁止措置は、ベネッセのシステム運用現場においても実施されていたとのことだが、想定したように機能していなかったため漏えいにつながってしまったと考えられる。報道によれば、今回の事件ではスマートフォンを「MTP(Media Transfer Protocol)モード」で接続してデータをコピーしていたという。

 このMTPモードでは、Windowsのエクスプローラなどであれば通常の外部記憶媒体に近い感覚でファイルの読み書きが可能だが、内部的な処理はUSBマスストレージ接続と全く異なっている。そのため、マスストレージを禁止するだけの措置ではMTP接続を禁止できない場合も多い。今回の事件では、まさにこの点が悪用されてしまったようだ。

MTPモードとは


 なお、MTPモードは、もともと音楽/動画プレーヤー向けに開発されたUSB接続ファイル転送プロトコルだ。こうしたデバイスでは、USBメモリやUSB接続HDDなどのように「USBマスストレージ」で接続してしまうと、PCとデバイスの両方が同時にファイルを更新することが原理的に可能となり、場合によってはデータが破損する危険がある。その防止のため端末側のアプリを停止するなどの対策が多くのデバイスで行われているが、PC接続時に多くの機能が使えなくなることにもなる。

 これに対しMTPでは、PCからの読み書きはデバイス上のOSを経由して行うようになっており、ファイル破損などの心配がなくなる。Androidでは3.1以降でMTPをサポートしており、最近の端末ではデフォルトでMTPモードとなっていることも多い。ユーザーの利便性のために開発され広まったプロトコルだが、結果としてUSBマスストレージのみの禁止措置に対するセキュリティホールのようになってしまっている、と考えることができよう。

 より踏み込んだセキュリティとしては、作業エリアにUSBメモリやスマートフォンなどの外部記憶媒体を持ち込ませないようにしたり、KVMやシンクライアントソリューションを組み合わせることによりUSB接続禁止措置の確実性を高めるなど、物理的な対策も考えられる。持ち込み防止は入退室ソリューションなども絡む大掛かりな対策となるが、本番環境のサーバが設置されるサーバ室、データセンターなどにおいては、外部記憶媒体と本番サーバの物理的な接触を防ぐ最後の防壁もいえよう。一方、KVMやシンクライアントでの対策は、DB管理など主に端末からの操作において有効な手段だ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]