こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
国立大学法人新潟大学は3月9日、個人情報を含むUSBメモリの紛失について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】個人情報が入ったUSBメモリを紛失してしまったということです。今回は、情報を持ち出す際に使われる手段ごとのリスクと、その対策について説明します。
今回のインシデントは、学生1,128名分と同学の事業に関与した50名分の個人情報が漏えいしてしまった可能性があるということです。
原因として、USBメモリの紛失が挙げられています。また、同学の職員等が情報の持ち出しに際し、必要とされる許可者の承諾を得ておらず、USBメモリ及び要機密情報の暗号化もしていなかったということです。
対策として、同学では被害者に対して、謝罪と経緯を説明した文書を送付しています。また、同学では所轄警察署へ遺失物届を提出するとともに、学内外を捜索しましたが発見には至っていないということです。また、再発防止策として、全教職員に対し「情報の取り扱いルールを徹底」「セキュリティ講習会を実施」「ガイドライン等に基づいて注意喚起」などの周知徹底を図るということです。
USBメモリは差し込むだけで使える手軽さがあります。ただし、簡単に持ち運べるがゆえに、紛失してしまうリスクが存在しています。これらが、USBメモリの紛失によるインシデントがなくならない理由です。
一方で、今回の再発防止策としても挙げられているクラウドサービスでは、物理的に紛失するリスクは一切ありません。確かに、クラウドサービスを利用すれば、物理的になくす心配はありませんが、手放して安全というわけにはいきません。クラウドサービスには紛失するリスクがない代わりに、設定によってセキュリティを担保することが必要とされます。
クラウドサービスに置かれたファイルを誰が見てよいか、管理者が適切に設定する必要があります。例えば、AさんがBさんとCさんにファイルを共有したい場合は、ファイルにアクセスできるユーザとして、BさんとCさんを指定する必要があります。ユーザを指定せずにファイルへアクセスできる状態にしてしまうと、世界中の人がファイルにアクセスできることにもなりかねません。
仮にUSBメモリを紛失したとしても、データを見られないよう「暗号化する」のも一つの手段です。最も簡単な暗号化の方法として、パスワードの設定が挙げられます。パスワードがわかる人だけが、暗号化されたファイルを開ける状態に戻せるようにするものです。
USBメモリだけでなく、パソコンやスマートフォンも含めて、保存されているデジタル情報には大きな価値があることを認識してください。
JNSAが公表している「情報セキュリティインシデントに関する調査報告書」では、2018年に発生したインシデントの想定損害賠償総額は2,684億5,743万円で、一人あたり平均想定損害賠償額は2万9,768円ということです。情報の質によって金額は上下しますが、いずれにしても、情報の持ち出しは大金を持ち歩いているのと同じという意識をもって、紛失などのリスクを避けるように、十分注意してください。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ