情報流出について考える。
昨日、とあるコンピューターセキュリティ専門会社が、自社で起きた「情報流出」事案を公開した。
事の発端は、ある機器を「フリーマーケット」で手に入れた人物が、そのHD内に事業関連情報を発見して通報したことからだった。その会社の内部調査によると、原因は元社員が規則に反してデータのバックアップを個人のHDに取り、それを不完全に消去したままで第三者に売却したからとの事だった。
セキュリティを扱う会社という事で、自社で迅速に行動し収束を図り、経緯も公開して一応は不祥事を管理したともいえるが、情報の安全管理を商売にしている会社としては拭いきれない不信感を顧客や世間に与えてしまった。情報のさらなる流出は調査の限りでは起こっていないと発表しているが、やはり高くついてしまったと言わざるをえない。専門家集団といえども、このような初歩的な方法管理の失敗があり得るという事だ。
事業関連情報が入っていたかに関わらず、会社の所有する機器内のHD、SDカード、USBメモリー等々、あるいは記憶装置が内蔵されているガラケー、スマホ、テレビ、等々においても、今後は一層の「情報管理リテラシー」が必要になってくる。しつこいがそのような情報管理のサポートをするのがこの会社の事業であるから、本当に悪い冗談のような事件であった。
実際、組織であれば、このような管理外の機器にまでは制御が及びにくい。昨今の混乱により自宅勤務も増えているから余計に個人的な機器への情報転送の把握は難しい。情報化社会、コンピューターの拡散は情報管理においては両刃だということだ。
組織は難しいとして、個人レベルであれば、HDの処理くらいは徹底したいものだ。だが、以前投稿した様にノートパソコンはHD(SSD)がはんだ付けされているから一旦ノーパソが故障するとSSDの情報にもアクセスしにくくなる。
ノートパソコンについて考える。
choufuyuu.blogspot.com完全ではないが、一対応としては上記投稿で触れたようにノーパソが動作中に消去を徹底するか、いざとなったらマザーボードからSSDを剥がしてどうにかするしかない。
ところで、件の「元社員」は、そもそもどうすれば良かったのか。
当然、第一に個人用のマシン内にバックアップコピーなどするべきでは無い。しかしそれ以前に、どのような状況であっても、転売するのならばHDを完全にキレイにしておくのは常識だろう。会社の情報だけでなく、自分の個人情報も入っているかもしれないのだ。何が書き込まれているか、管理しようがないから、物理的に破壊するのでなければ、論理的にデータを消去するしかない。物理的破壊するにしても、まず論理的破壊?をしておくのが望ましい。
しかし、その前に(消去が必要となる時以前、使用中の際)もできることがある。それは暗号化だ。機密情報ファイルのみを暗号化する手もあるが、もっと安全なのはドライブ全体を暗号化することだ。
暗号化は「組織内」では、今のところ、少なくとも、「効率よく」は徹底できないから、依然として不完全な対策だ。上記の事案のように自宅勤務している従業員が暗号化されていないドライブに一時的にでもデータを移動するのを阻止するのは中々難しい。また、個人であっても、復号化の情報(パスワード等)自体が漏れたり、暗号化技術自体に穴があればこれとて安全では無い。
だが、どっちにしろデータとドライブをむき出しのままで保管するより安全だろう。第一、泥棒が入ってドライブだけ抜いていくかもしれない。ドライブをいちいち鍵付きの金庫に入れるわけには行かないから、もし機密情報をそこに保管せざるをえない場合、現実的にはドライブ自体をそれなりに安全な方法で暗号化しておくのが唯一の対応だ。
一般の人たちはどのような暗号化策を講じているだろうか。今後の投稿で俺のやっている暗号化とか、データ消去の方法を紹介する。
