USBメモリー専門家としての意見
■論評1
今どきUSBで持ち歩くとは驚き。クラウドの活用を考えてはどうか
↓↓
私の意見
この論評をした方は、組織において、個人情報がどのように運用されているかという実体験がないのだと想う。
企業や自治体といった大抵の組織は、個人情報をデータベース化している。
少し小難しくなるが、以下はしらべるにおける「データベース」の定義である。
それぞれの件数が多い複数の項目の情報を蓄積しておき、必要な時に検索して利用できるようにした情報群
個人がエクセルファイルでつくるブック(ファイル)は、データ項目がデータベースと同じだったとしても、他のコンピューターと一元的に共用できないのでデータベースとは呼ばない。
個人情報を"格納する"データベースは社内ネットワーク(イントラネット)にあるサーバー(※1)に置くのが基本。その方が安全だからだ。
そこを飛ばして、いきなり、クラウド(インターネット上の社外サーバー)に置くのを検討することはないと想う(例外を*以下に後述)
企業のセキュリティ担当者が聞いたら、USBの代替案が「クラウドの活用」という文脈の不思議さに戸惑うと想う。
企業にとって「個人情報」は機密性の位置づけが高い。
「個人情報漏洩事案」は、メディアとSNSで「叩いてよし!」という共通理解がある日本社会では、その事故は最も効率よく企業価値を下げる手段だからだ。
ただでさえ、一般社員はなんでもクラウドに置きたがる。
しかも、そのクラウドは会社指定のものではなく"タダで使い放題"の「自前クラウド」が多い。
一定のセキュリティ意識がある会社の場合「会社公認クラウド」が用意される。ただし、そこでは(データのダウンロードなどの)行動が会社から捕捉される。
一方「自前クラウド」に置けば、そのデータを個人のパソコンにコピーできる。
その目的はなんなのか?ということだ。
従って、個人情報を社内(イントラネット)に置かずに、いきなりクラウドに置くという発想はないのである。
*ただし「イントラネットにサーバーを立てる」ことが難しい組織もある。
セキュリティに詳しい担当者がいない、または、予算が乏しい、中小企業や自治体では、一足飛びの「クラウド置き」は有りかも知れない。
世の中には「世界最強レベル」のセキュリティを謳うクラウド(※2)があり、その方が一企業のイントラネット内よりも強力ということもあるからだ。
そうした堅牢なクラウドでは、データのダウンロードや編集などの履歴を会社(システム担当者)側が捕捉できて、社員による犯罪防止の抑止力もある。
尼崎市の案件「USBメモリーに個人情報」は、担当者がデータベース等からダウンロードしたコピーをUSBメモリーに入れて、社外に持ち歩いていたということだろう。
なんで、そんなことをするのかというと、恐らく使い勝手がいいからだ。データをUSBメモリーに入れておけば、持ち歩くパソコン、会社事務所のパソコン、自宅のパソコンとあちこちで使える。
データを加工して資料を作る時、元のデータ(全項目)が手元にあった方が便利なのである。
ベネッセ事案のように個人情報を転売する事案が起きると、会社が大打撃を受けるので、良識ある企業は「記憶媒体に営業秘密を入れて社外持出」することを禁止している。
尼崎事案では次のいずれかが考えられる。
(1)持出禁止の規則がなかった
(2)例外許可措置の取り決めがあり、許可を受けて持ち出していた
(3)担当者が規則違反をしていた
※1 組織の規模によりサーバーはパソコンということもある
※2 ここでいうのはネットワークストレージ
■論評2
USBメモリーにかけていたパスワードの桁数を話すのはセキュリティ意識が低い
↓↓
私の意見
USBメモリーのパスワード桁数を制御できるシステムはない。
パスワードの桁数、複雑性の設定は、ユーザーの意識にかかっている。
今回、会見で述べられていたパスワードの桁数・複雑性は割と意識が高い方だ。
会見した者は「しっかりとやっています」と言いたかったのだろう。
仮にUSBメモリーを拾った人が「悪者」だったとして、会見でばらしたらパスワードを解読しやすくなるという批判は当たらない。
悪者がパスワード解析ツールを使えば(発表された桁数ならば)数時間で解読できる。
| 固定リンク | 0
「IT」カテゴリの記事
- 生成AIのある時代に生きる しらべるが選ぶ2023年の5大ニュース【1】(2023.12.26)
- ChatGPTの誤りと衝撃 ChatGPTと「Google先生」との付き合い方(2023.04.08)
- USBメモリー専門家としての意見(2022.06.28)
- USBメモリーを4000個廃棄した(2022.06.25)
- zoom! zoom!(2020.04.28)
コメント