もう可搬メディアは止めてね・・・
INTERNET Watchの記事に、 兵庫県尼崎市、全市民46万人分の個人情報を保存したUSBメモリーの紛失を発表 てのがありました。
兵庫県尼崎市は6月23日、同市の業務委託先事業者の関係社員が、全市民46万517人分の住民基本台帳の情報を保存したUSBメモリーを紛失したと発表したそうです。記事によると・・・
住民税非課税世帯等に対する臨時給付金支給事務の受託者であるBIPROGY株式会社関西支社の関係社員が、6月21日、大阪府吹田市のコールセンターでのデータ移管作業のために、必要な情報を記録したUSBメモリーをかばんに入れ、尼崎市市政情報センターから持ち出した。受託者は、委託者の事業所外でのデータ処理の許可は尼崎市から得ていたものの、関係社員個人が電子記録媒体(USBメモリー)で個人情報をデータを運搬することについては、許可を得ていなかったという。
だそうです。詳細は記事に譲りますが、既に報道でご存じの方も多いかもしれません。
今回の件については、色々ツッコミどころ満載で、どこからツッコんでいいのかわからないくらいですね。
BIPROGY株式会社は、旧日本ユニシスで日本の大手SIerのひとつです。そんな会社であるはずなのに、一社員の行動とはいえ未だにUSBメモリを使用していたことも驚きですし、尼崎市市政情報センターがUSBメモリ使用を許していたことも更に驚きです。
その他にも、尼崎市の会見で担当者がパスワードの桁数や構成要素までご丁寧に喋ってしまうという、燃料投下まで行われてまさに業火の勢いは止まりません。
USBメモリに関しては、約4年前の本ブログの 大英断!ナントIBMが社内でのUSBメモリの使用を全面的に禁止するそうですよ とのエントリーにて、IBM社内でのUSBメモリの全面利用禁止をお伝えしました。
当時からUSBメモリを含む可搬メディアの危険性については認識されており、実際に情報漏えい等が起こっていたので、IBMが社内での利用を全面禁止したわけです。当時は既にクラウドストレージなどが一般的になっていたため、USBメモリなどの可搬メディアを利用せずとも情報の共有は可能でした。
また、上記エントリー内にもあるように、本ブログでは約11年前に 忘れ物のUSBメモリ、3分の2がマルウェアに感染――相当量の個人情報も とのエントリーにてUSBメモリの全廃を訴えていました。
可搬メディアについては、当然ながら今回のような紛失や盗難のリスクがついて回ります。暗号化されていたとはいえ、桁数と構成要素が分かっていれば、高性能GPUによるブルートフォースアタックであれば、突破は不可能とは言い切れません。
オンラインストレージが、誰でも無料で利用できる現状での可搬メディアの利用はリスクしかありません。また、USBメモリを構成しているNANDフラッシュメモリは、その性質上、書き込み限界があり、ある日突然データの読み書きができなくなることがあります。つまり、寿命があるのです。
そのようなリスクしか無いメディアでのデータのやり取りは、もう止めにしてオンラインストレージでのデータのやり取りに一本化することをオススメします。
現在もUSBメモリをご利用の方は、この機会にオンラインストレージへの移行をご検討下さい。