こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
国立大学法人広島大学は12月20日、広島大学附属福山中・高等学校での個人情報を記録したUSBメモリの紛失について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】個人情報が記録されたUSBメモリを紛失するインシデントが発生してしまったということです。一向に減らないUSBメモリの紛失によるインシデントの対策と、代替策としてのクラウドサービスを取り巻く現状について説明します。
今回のインシデントでは、生徒に関する個人情報が記録された情報が行方不明になってしまいました。原因として、教員が学校所有のUSBメモリを校舎内で紛失した事が挙げられています。
対策として、全校生徒の保護者に謝罪と状況説明の文書を校長名で配布しています。再発防止策として、教職員に対し、重要な情報は同学が提供するクラウド上のファイル保管サービスを利用するなど、個人情報の管理の徹底について文書で注意喚起を行ったということです。
USBメモリの利用を禁止すること以外に、その他の記憶媒体やパソコンの持ち出しについても対策する必要があります。
USBメモリは軽くて持ち出しやすく、また簡単に使えることから、それに比例してインシデントの数も増えていることが考えられます。ただし、本質的には他の外部記憶媒体も同様にリスクを持っており、パソコンそのものを紛失してしまうリスクも否めません。つまり、情報の持ち出し全般に対して対策をする必要があります。
その他の外部記憶媒体として、CD、DVD、外付けハードディスクなどが挙げられますが、スマートフォンやデジタルカメラなども外部記憶媒体として機能することに注意が必要です。過去にあった個人情報漏えいのインシデントで、USBメモリの利用は禁止できていたものの、スマートフォンとパソコンをUSB接続することは禁止できていなかった事例があります。これは、USBメモリとスマートフォンでは、パソコンからのデータ転送方法が異なるため、技術的に対策できていなかったことが考えられます。
また、ノートパソコンをどこかに置き忘れてしまうなど、パソコンそのものを紛失してしまうことも否めません。紛失のリスクをゼロにすることは困難と考えられますので、対策としては、ハードディスクを暗号化して、第三者がデータを読み取れなくすることが挙げられます。
クラウドに対する負のイメージが払拭される要因として、各府省情報化統括責任者連絡会議決定を以て示された「クラウド・バイ・デフォルト原則」が挙げられます。
クラウド・バイ・デフォルト原則とは、国が情報システムを導入する際に、クラウドサービスの利用を第一候補として検討する方針です。情報システム化の対象となるサービスや業務で取り扱う情報等を明確化した上で、メリットや開発の規模及び経費等を基に、検討するものです。
2021年3月30日に発表された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」によると、近年、急速に進化し発展したクラウドサービスは、正しい選択を行えば、コスト削減に加えて、情報システムの迅速な整備、柔軟なリソースの増減、自動化された運用による高度な信頼性、災害対策、テレワーク環境の実現等に寄与する可能性が大きく、政府情報システムにおいても、クラウドサービスを利用することで様々な課題が解決されることが期待されるとしています。しかしながら、これまで政府では、情報セキュリティや移行リスクへの漠然とした不安、不十分な事実認識等から、クラウドサービスの利用に前向きでなかった側面が否定できなかったということです。
まとめると、クラウドサービスにメリットは感じながらも一歩踏み出せていなかった国も、クラウドサービスの利用を最優先で検討することを意思決定したことになります。よって、ファイル保管サービスだけでなく、その他のクラウドサービスにおいても、民間での利用が今後も加速していくことが考えられます。
今回は、一向に減らないUSBメモリの紛失によるインシデントの対策と、その代替策としてのクラウドサービスを取り巻く現状についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ