前編では、主にデータベースへのアクセスを制御するという観点から、セキュリティ確保の方法を論じた。後編は、データを持ち出させないための仕組みや、組織作りに焦点を当てる。
外部媒体使用禁止は「マスストレージ」以外にも注意
データを「持ち出させない」対策としては、USBメモリなどの外部記憶媒体を端末で利用できないように禁止するツールのほか、管理区域を設定して記憶媒体の持ち込み、持ち出しを物理的に禁止するといった対策がある。また、今回の事件には該当しないが、ネットワークを介した外部へのコピーに対する備えも求められる。
この外部記憶媒体の禁止措置は、ベネッセのシステム運用現場においても実施されていたとのことだが、想定したように機能していなかったため漏えいにつながってしまったと考えられる。報道によれば、今回の事件ではスマートフォンを「MTP(Media Transfer Protocol)モード」で接続してデータをコピーしていたという。
このMTPモードでは、Windowsのエクスプローラなどであれば通常の外部記憶媒体に近い感覚でファイルの読み書きが可能だが、内部的な処理はUSBマスストレージ接続と全く異なっている。そのため、マスストレージを禁止するだけの措置ではMTP接続を禁止できない場合も多い。今回の事件では、まさにこの点が悪用されてしまったようだ。
MTPモードとは
なお、MTPモードは、もともと音楽/動画プレーヤー向けに開発されたUSB接続ファイル転送プロトコルだ。こうしたデバイスでは、USBメモリやUSB接続HDDなどのように「USBマスストレージ」で接続してしまうと、PCとデバイスの両方が同時にファイルを更新することが原理的に可能となり、場合によってはデータが破損する危険がある。その防止のため端末側のアプリを停止するなどの対策が多くのデバイスで行われているが、PC接続時に多くの機能が使えなくなることにもなる。
これに対しMTPでは、PCからの読み書きはデバイス上のOSを経由して行うようになっており、ファイル破損などの心配がなくなる。Androidでは3.1以降でMTPをサポートしており、最近の端末ではデフォルトでMTPモードとなっていることも多い。ユーザーの利便性のために開発され広まったプロトコルだが、結果としてUSBマスストレージのみの禁止措置に対するセキュリティホールのようになってしまっている、と考えることができよう。
より踏み込んだセキュリティとしては、作業エリアにUSBメモリやスマートフォンなどの外部記憶媒体を持ち込ませないようにしたり、KVMやシンクライアントソリューションを組み合わせることによりUSB接続禁止措置の確実性を高めるなど、物理的な対策も考えられる。持ち込み防止は入退室ソリューションなども絡む大掛かりな対策となるが、本番環境のサーバが設置されるサーバ室、データセンターなどにおいては、外部記憶媒体と本番サーバの物理的な接触を防ぐ最後の防壁もいえよう。一方、KVMやシンクライアントでの対策は、DB管理など主に端末からの操作において有効な手段だ。