【HDD転売事件】「世界最悪級の流出」を質と量で考える

世界最悪級の流出と言われているようです。今までの漏洩事件は、個人情報でも機密情報でも
「ある特定の情報」に金銭的価値があり、単に売却したり転職時の手土産だったりと…いうものが情報漏洩の事件だったと記憶しています。

結果において、情報が漏れたので情報セキュリティでいう漏洩になるのでしょうが、何か違和感を感じます。カテゴリー別けなんてどっちでもいいのでしょうが、もっと手前の「管理上の問題」であり、情報セキュリティだけでない「超基本的な最低限の」根源的なことだと考えます。

詳しいことはニュースサイトを確認下さい。

HDDなど転売「7844個」──行政文書流出、ブロードリンクが謝罪 ずさんな管理体制明らかに

神奈川県庁のHDD流出、容疑の業者は官民で取引多数の大手 防衛省も「しっかり調査する」影響範囲大か

防ぎようはあるのか HDD横領転売事件から見える「サプライチェーン・リスク」

量という単位で考える

1.中古のHDDとして転売するなら、大容量のが金銭的価値が高い

2.数年にわたって持ち出し出来た環境

3.台数をこなせば、お金になる

…と、かなり偏った見方ですが、きっと入れ物としての価値しか見てなかったのだろうと。

 

質で考えてみたが…

今回のケースを質で考えてみても、何も浮かびませんでした。盗み売り飛ばすにおいて、質の追求は不必要をいうとこでしょうか?

何もないとアレなので、セキュリティな思考で出してみました。

1.例え紙一枚の情報でも、企業が吹っ飛ぶだけの機密情報

2.絶対に誰にも知られたくない個人の秘密が書かれた付箋紙

3.上記1と2などを先方からお預かりした「企業団体」の業務で使い終わった(リース切れ、入替)PCのデータ

おそらく、このような中身のことは「これっぽっちも」考えてなかったと思います。

 

コンテナとコンテンツ

10年前に書いたブログですが、まだ使えそうですw(コンテナとコンテンツの価格価値が一緒くたになっている。。。感じがする

そもそもHDDの容量にしか興味が無かったはず。これは容量が大きくなれば、含まれる情報の量と比例してリスクが大きくなるもので、外見(コンテナ)と中身(コンテンツ)は、全くの別物として考えなければならず、情報セキュリティにおいては、より中身のデータを重要視して考えななければなりません。

ぶっ壊れたHDDなどのストレージは買い直せばどうにかなりますが、その中身がどれ程のものか?と、ここで説明するまでもないと思います。誰しもデータが飛んだ経験があるもの。今回の含まれるデータはそれらを遙かに超える中身と思っています。

 

最悪級の理由

廃棄を専門に請け負う会社に持ち込まれた媒体には、これから廃棄するためのHDDなので含まれるデータは、容易に復元出来る状態にあったものが多いと思われます。またリース上がりなどのHDDには「かなり金銭的価値の高い」情報が含まれていたと考えることが出来ます。

変な言い方ですが、中身のデータ売買を目的に丁寧に抽出していれば、外見の売買よりも金銭的価値は高かったと考えます。

1.廃棄を依頼した側には、廃棄証明書が発行されていた。

2.7844台の内、完全抹消をしてないものについては別なデータディスクとして使っていても、未だデータ復元出来る可能性が残る。

3.含まれるデータが個人情報から機密情報など「情報セキュリティの観点で見ても、全部が保護対象」となる重要データであること。

今回のケースは、その後の売却したストレージ等の行方を追わない限り状況は見えません。そして含まれる可能性のあるデータによっては、かなりのリスクに繋がる可能性を秘めているのが最大級の脅威と思います。

何より、この脅威を疑う余地(必要)がない中で起きたことを、どう予測すればいいのでしょうか? それがブラックホール的にコワイとこです。

 

自衛策とセキュリティな考え方

杜撰な管理までは見えないですし、わかっていれば頼まないはず。しかし、自身の手元を離れた後は、何がどのように動いて行くのか?追い掛けることもできません。

今回のケースでは無理だったかと思いますが、例えばデーター抹消するなど、方法はいくらでもあります。団体や自治体など様々な状況で勝手にデータ抹消できないケースも多くあると思いますが、考え方はこんな感じです。

結局、自身で出来る最大限のことを、どこまで出来る(出来た)かで、その後は随分と変わるものです。常にこういう意識を持ち続けることも「セキュリティ対策」の一環であると思います。

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。