もっと身近にセキュリティ

消えたHDD

▼社内サーバ室で一体何が
5月に少々謎めいた事件が起きました。

*90社の個別プロジェクト案件の情報を保存した外付けHDDを紛失
http://scan.netsecurity.ne.jp/article/2016/06/30/38654.html
*お客様情報を含む外付けハードディスクの紛失について
http://www.ntt-at.co.jp/news/2016/detail/release160628.html

サーバ室に保管されていた外付けHDD2台がどこかへ消えてしまいました。なお、HDD内の情報はある程度特定ができたようです。

*研究開発の委託先におけるHDDの紛失について
https://www.nict.go.jp/press/2016/06/28-1.html

紛失が判明したのが5月27日、紛失事実の公表が6月28日です。公表から3ヶ月が経過した9月29日現在でもHDDが発見されたという続報はなく、このまま永久に行方不明となってしまいそうな気配が漂ってきました。紛失が発生した原因についても、詳細は明らかにされていません。

 

▼再発防止策から見えてくること
公表された情報によると、紛失発生の原因はいまだ究明されていないようですが、NTT-AT社は以下の再発防止策を示しています。

  1. 情報漏えいを起こさない物理的、システム的な仕組み作りを徹底してまいります。
  2. 情報の整理および不要な情報の廃棄の徹底、常時情報の中身が特定できる仕組み作りを実施してまいります。
  3. 社長を最高責任者とする情報セキュリティ対策強化チームを編成し、全社を挙げてガバナンス強化を進めるとともに、社員のセキュリティ教育を徹底してまいります。

ここでは包括的に表現されていますが、NTT-AT社は、具体的に次のような観点で検証したことでしょう。

  • サーバ室に入室可能な人物は誰か。
  • 入室許可を与える必要の無い人物に許可を与えていないか。
  • 入室可能者を定期的に棚卸ししているか。異動や退職に伴う権限削除をしているか。
  • 入退室記録は人物を特定できる形で取得されているか。
  • 入退室記録をチェックしているか。
  • 権限外の入室が可能な方法が存在するか。
  • 不正な入室を検知する仕組みはあるか。
  • 資産台帳と実態との整合はチェックされているか。
  • 紛失に気づかないほど室内が散らかっていないか。
  • 社内からの物品の持ち出しに気付くすべはあるか。
  • 社員はルールを認識し、遵守しているか。
  • 盗難ならば、その目的は何か。 など

単純な紛失事件のようですが、裏にどのような問題が潜んでいるか興味をそそられます。

 

▼情報セキュリティ対策強化チームの今後の活躍に期待
以下の記事では、”サーバルームにおける入退室管理や監視カメラの設置、物品の持ち込み制限の徹底、可搬記憶媒体の利用規定の見直しなど、緊急対策を実施。セキュリティ教育の徹底など、抜本的な対策を講じる”と書かれています。

*NICTがNTT-ATを指名停止処分 – HDD紛失で
http://www.security-next.com/072597

監視カメラの映像をチェックする体制も必要になるでしょう。続報が待たれます。NTT-AT社は1,821名(2016年3月31日現在)もの社員から成る大組織ですから、今回の事件の原因究明はさることながら、情報セキュリティ対策強化チームの今後の活躍に期待したいところです。