【HDD転売事件】「世界最悪級の流出」を質と量で考える

世界最悪級の流出と言われているようです。今までの漏洩事件は、個人情報でも機密情報でも
「ある特定の情報」に金銭的価値があり、単に売却したり転職時の手土産だったりと…いうものが情報漏洩の事件だったと記憶しています。

結果において、情報が漏れたので情報セキュリティでいう漏洩になるのでしょうが、何か違和感を感じます。カテゴリー別けなんてどっちでもいいのでしょうが、もっと手前の「管理上の問題」であり、情報セキュリティだけでない「超基本的な最低限の」根源的なことだと考えます。

詳しいことはニュースサイトを確認下さい。

HDDなど転売「7844個」──行政文書流出、ブロードリンクが謝罪 ずさんな管理体制明らかに

神奈川県庁のHDD流出、容疑の業者は官民で取引多数の大手 防衛省も「しっかり調査する」影響範囲大か

防ぎようはあるのか HDD横領転売事件から見える「サプライチェーン・リスク」

量という単位で考える

1.中古のHDDとして転売するなら、大容量のが金銭的価値が高い

2.数年にわたって持ち出し出来た環境

3.台数をこなせば、お金になる

…と、かなり偏った見方ですが、きっと入れ物としての価値しか見てなかったのだろうと。

 

質で考えてみたが…

今回のケースを質で考えてみても、何も浮かびませんでした。盗み売り飛ばすにおいて、質の追求は不必要をいうとこでしょうか?

何もないとアレなので、セキュリティな思考で出してみました。

1.例え紙一枚の情報でも、企業が吹っ飛ぶだけの機密情報

2.絶対に誰にも知られたくない個人の秘密が書かれた付箋紙

3.上記1と2などを先方からお預かりした「企業団体」の業務で使い終わった(リース切れ、入替)PCのデータ

おそらく、このような中身のことは「これっぽっちも」考えてなかったと思います。

 

コンテナとコンテンツ

10年前に書いたブログですが、まだ使えそうですw(コンテナとコンテンツの価格価値が一緒くたになっている。。。感じがする

そもそもHDDの容量にしか興味が無かったはず。これは容量が大きくなれば、含まれる情報の量と比例してリスクが大きくなるもので、外見(コンテナ)と中身(コンテンツ)は、全くの別物として考えなければならず、情報セキュリティにおいては、より中身のデータを重要視して考えななければなりません。

ぶっ壊れたHDDなどのストレージは買い直せばどうにかなりますが、その中身がどれ程のものか?と、ここで説明するまでもないと思います。誰しもデータが飛んだ経験があるもの。今回の含まれるデータはそれらを遙かに超える中身と思っています。

 

最悪級の理由

廃棄を専門に請け負う会社に持ち込まれた媒体には、これから廃棄するためのHDDなので含まれるデータは、容易に復元出来る状態にあったものが多いと思われます。またリース上がりなどのHDDには「かなり金銭的価値の高い」情報が含まれていたと考えることが出来ます。

変な言い方ですが、中身のデータ売買を目的に丁寧に抽出していれば、外見の売買よりも金銭的価値は高かったと考えます。

1.廃棄を依頼した側には、廃棄証明書が発行されていた。

2.7844台の内、完全抹消をしてないものについては別なデータディスクとして使っていても、未だデータ復元出来る可能性が残る。

3.含まれるデータが個人情報から機密情報など「情報セキュリティの観点で見ても、全部が保護対象」となる重要データであること。

今回のケースは、その後の売却したストレージ等の行方を追わない限り状況は見えません。そして含まれる可能性のあるデータによっては、かなりのリスクに繋がる可能性を秘めているのが最大級の脅威と思います。

何より、この脅威を疑う余地(必要)がない中で起きたことを、どう予測すればいいのでしょうか? それがブラックホール的にコワイとこです。

 

自衛策とセキュリティな考え方

杜撰な管理までは見えないですし、わかっていれば頼まないはず。しかし、自身の手元を離れた後は、何がどのように動いて行くのか?追い掛けることもできません。

今回のケースでは無理だったかと思いますが、例えばデーター抹消するなど、方法はいくらでもあります。団体や自治体など様々な状況で勝手にデータ抹消できないケースも多くあると思いますが、考え方はこんな感じです。

結局、自身で出来る最大限のことを、どこまで出来る(出来た)かで、その後は随分と変わるものです。常にこういう意識を持ち続けることも「セキュリティ対策」の一環であると思います。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。