ある自治体が起こした個人情報流出の問題で取られた対策が話題になっています。
堺市が行った情報セキュリティ対策
堺市職員が個人情報をネット上に流出させた問題で、堺市は職員が勝手に情報を取り出せないようにするため、個人情報を取り扱うパソコン約1,000台のUSBポートを塞ぐという対策を行ったとのこと。
これは職員がUSB機器を利用できないようにするために、物理的にポート(USBの穴)を塞いでしまうというもの。ポートを使えるようにするには専用のカギを使って外す必要があります。
この手のセキュリティ商品は周辺機器メーカー各社から販売されており、おそらく以下のような機器を使って行ったのではないかと思います。
個人情報、機密情報の持ち出し、漏えい事件の原因の多くは「内部の原因」だといわれています。今回、職員が個人情報を持ち出した目的は、自作の選挙システムの開発および販売促進のためだったとのこと。
開発システムは個人契約のレンタルサーバー上に一般閲覧可能な状態で公開されており、また、そのシステムの紹介動画をYoutubeへ公開されたことなどにより発覚に至ったようです。
持ち出しの手法そのものについて明確に記したニュースは見つけられませんでしたが、今回取られた対策から、USBストレージを管理端末に接続し、データコピーをしたうえで持ち帰ったものだと推測されます。
堺市の対策を笑う人たち
今回の堺市の対策がニュース配信され、多くのブログなどでも取り上げられています。
中には【神対応】【天才か】【アホ】などと揶揄するものも多くありますが、読者の反応なども併せて見てみると、こういったセキュリティ対策の理解、評価について人によってかなり温度差があることが分かります。
「企業では一般的な対策」と一定の評価をする人たちがいる一方で、「時代遅れ」「無意味」「他の方法で盗める」などのコメントも。
実際のところ、今回のような形で物理的なポート制御のセキュリティ対策をとっている企業は数多くあります。私の勤務先もセキュリティ対策は全社的に行われており、物理ポートは一部がふさがれ、マウスやキーボードなどの入力デバイス以外の機器はソフトウェア的に(グループポリシーなどで)動作できないような設定がなされています。
個人的に今回の対策は「やっとか」という印象ですが、一定の有効性がある対策として評価できる内容だと思っています。
「抑止」という考え方
今回の対策におけるひとつの論点は「抑止としての効果」です。
セキュリティ対策で一番大切なことは未然に防ぐこと。
そのためは、情報持ち出しを行おうとしている人たちに対して「あなたが行おうとしていることは我々が見ていますよ。対策していますよ」ということを意識させ、事前に思いとどまらせることが重要です。
立ち入り禁止の看板。
デパートの警備員や監視カメラ。
映画の上映前に流れる「NO MORE 映画泥棒」。
そしてUSBポートの物理的な封印。
これらはすべて「抑止」のための対策です。
集団に対しての「抑止」の視点を差し置いて、「俺なら警備員倒せるしwww」「俺ならほかのやり方でデータ持ち出せるしww」という反論はそもそも論点がずれているんですね。
幅広いユーザーにシンプルな方法で(かつ適正なコストで)心理的に訴えることが重要です。
はたしてどちらが情弱なのか
セキュリティ対策のソリューションは数多あり、その効果はコストや利便性とのトレードオフです。
たったひとつの最強のセキュリティ対策を論じるのであれば、私はネットから物理的に切断し情報との接点を絶つことをお勧めします。割と本気で。
セキュリティ対策の本質はどこにあるのか。改めて気になった一件でした。