NTT社長いわく「USBメモリーは使用禁止で許可制」 57
ストーリー by nagazou
一切禁止、完全禁止、絶対禁止 部門より
一切禁止、完全禁止、絶対禁止 部門より
NTT西日本の子会社であるNTTマーケティングアクトProCXで発生した個人情報流出の問題に対応するため、NTTの島田明代表取締役社長は、7日のNTT決算会見でUSBメモリの業務使用を一切禁じる方針を発表した(ケータイ Watch)。
島田社長は会見で事件について謝罪。NTTグループ内では、記録媒体の持ち込み禁止や操作を検知するソフトウェアの導入などルール化はされていたと説明。実際にガバナンスがきちんと効いていなかったこととして、対策として、グループ全体でのルールの確認と見直しを行うことを明らかにした。
さらにUSBメモリーの業務使用に関しては、従来の「業務のなかで基本的には原則使わない」とする方針から、「原則」もなく一切使わないような形にすると説明した。例外的に使用する場合は許可制とする考えを示した。同時に、操作検知の仕組みの徹底と抜き打ち監査も検討していると述べている。
島田社長は会見で事件について謝罪。NTTグループ内では、記録媒体の持ち込み禁止や操作を検知するソフトウェアの導入などルール化はされていたと説明。実際にガバナンスがきちんと効いていなかったこととして、対策として、グループ全体でのルールの確認と見直しを行うことを明らかにした。
さらにUSBメモリーの業務使用に関しては、従来の「業務のなかで基本的には原則使わない」とする方針から、「原則」もなく一切使わないような形にすると説明した。例外的に使用する場合は許可制とする考えを示した。同時に、操作検知の仕組みの徹底と抜き打ち監査も検討していると述べている。
これから出来る事 (スコア:2)
Windows だとこれかな
ほぼほぼ17年前から使える・・
USB 記憶装置を使用できないようにする方法
https://support.microsoft.com/ja-jp/topic/usb-%E8%A8%98%E6%86%B6%E8%A3... [microsoft.com]
定期的にこの話題があって、ここでもハードウエア的に潰す議論があったように思う
キーボードもマウスも bluetoothあるんで一般社員だとまず潰してもいい
ハード屋さんはいるねぇ
グループポリシ (スコア:1)
AD環境なら、グループポリシーで一括して止められますね。割とよくやる手なので資料もネット上にたくさんあって
https://ittrip.xyz/soft/windows/gpo-usb [ittrip.xyz]
https://btsn.hatenablog.com/entry/2019/05/08/234624 [hatenablog.com]
などなど。
許可したPCには別のポリシー割り当てるなどで一時的に解除もできるから、Windows PCなら簡単。
※しかし「例外的には許可制」なら、それを「原則禁止」というのでは。
Re:グループポリシ (スコア:1)
やっぱりそういうのありますよね
Re: (スコア:0)
うちもADのGPでUSBは止めてあるんだが、いまどきなんとも仕事でDVD媒体読み込んで…って仕事があるのでそのひとたち用のPCは申請させて個別にレジストリを変更してる
DVD使うのやめてネットのサービスに切り替えればいいのに人数分のアカウント料金を合計したらナントカカントカ言ってて ブホブホ
デジカメの写真もPCに取り込まないといけないから当然、USBメモリは読み書きできるDVDに書き込みなんてちゃめしごと
こういう部署があるとどんだけガーガー言ってやってみたところで所詮はねー
美しく高らかに宣言したセキュリティ・ポリシーに穴開けて最悪むごたらしいことになりかねんのよね
Re:これから出来る事 (スコア:1)
仮想デスクトップにしてしまって、仮想デスクトップ側からローカルにファイル転送できなくするという方法もあります
ただ、該当の件だと「システムの保守担当の派遣社員が、管理者アカウントでデータをダウンロード」という経路なので、もっと根本的に体制から見直さないとダメだと思います
Re: (スコア:0)
仮想デスクトップにしてしまって
RDPやVNCやシンクライアントかな?
過去でも現代でもWinでもLinuxでも仮想デスクトップってPC内の別画面ではないかと
Re: (スコア:0)
たしか事故後に発表された再発防止策のひとつに入ってたね。
リモート接続した先からファイルのダウンロードまでできるように
なっていたので、ダウンロードはできないようにするといった内容。
Re: (スコア:0)
いうても記録媒体の持ち込み禁止や操作を検知するソフトウェアは導入されていたようだが監視が不十分だったということだろうか。
うちも監視はしてるから何かあった時は逃がさんが使用は自由のポリシーなのだけれども。
Re: (スコア:0)
bluetooth許可する方がヤバいと思うのは素人考えですかね
Re:これから出来る事 (スコア:1)
なるほど。スマホに転送とかできるから?
サポセンとかでなければ、スマートフォン禁止までできんから。
だからWindows でのポリシー設定のほうが安全ということね。
Re: (スコア:0)
bluetooth許可する方がヤバいと思うのは素人考えですかね
USBもBT禁止なのにNFCで入館認証というガバガバなとことかありそう
# NFCでファイル転送できちゃうよね
Re: (スコア:0)
業務用PCにNFC装置がついて・USBで追加ができなくても、入館システム管理用PCを攻撃して人員情報は盗めるとか?
まあ製薬会社とか軍隊とかは気を付けたほうがいいのかもしらん
Re: (スコア:0)
テナントで入居してるならビル管側の入退室管理とテナントさんのシステムをつなぐわけにはいかないのでね
ビル側の入退室管理はセキュリティドアにカード番号を送信して蓄積させて、カードがタッチされたら開ける/開けないをさくっと判断してやってる
ふつーはビル管のシステムはいわゆる外部ネットワークとは切り離されたクローズドにしておかないと
冷熱、電力、空調まで管理してるシステムだから外部ネットワークにつなぐとか基本的にはもってのほか
ちょっとテアイ異なるけど過去の経験からだと340Wのサーバーを240台、1部屋でブンブンいわしてて、ある日、地下のチラーが故障した(制御してたマイコン死んだ)んだが
15分で室温40度超えてサーマルでばちばち落ちだしてしまってばいしょ くぁwせdrftgyふじこlp うに ゲフンゲフン
Re: (スコア:0)
でもサブシステムはインターネットに繋がってるでしょ
挙げられてる温度警告の他に電力管理もサプライ警告も遠隔監視システムも…
Re: (スコア:0)
bluetoothのデータ転送速度って有線規格に比べたら気が遠くなるほど遅いから大規模漏洩を想定するならUSBよりよほど安全だと思う。
データ転送そのものを縛りたいなら許可するプロファイル縛っちゃえばいいだけだし。
Re: (スコア:0)
USB Type-C のコネクタだとロック付の蓋を被せるのは難しそうだな
それでもなんとかロックかけるアイデア商品が出てくるかな?
法人向けにType-Cコネクタ部分をロックして接続不能に出来るノートPCがあっても良い
Re: (スコア:0)
昨今だとUSB Type Cからでないと充電できないノートPCばっかりだぞ
Re: (スコア:0)
ハード屋としては評価が全く出来なくなりますね。
UART(D-sub9)は最近だとついている事がニュースになるぐらい皆無。
最近のノートだとEthernet(RJ45)すらついてないPCが増えてる。
各種CPUやらFPGA・SPI Flashの書き込みもほぼUSBが必要。
そもそもJTAGのPC側はUSBが主流。
設計用だけど(ライセンスによっては)CADとかのドングルの口がUSBなのも山ほど。
# 意外と面倒なのがケーブル。
# 未だUSB2のA-Bタイプのケーブルが必要だったりするのもあるし
# もちろんMini-Bもまだまだ現役。秋月に売ってるからいいけど。
Re:これから出来る事 (スコア:2)
その辺って世間一般では極端に理解度が低くて、Googleでさえある時まで複数NICとか変なマスストレージもどきとかLinuxじゃないコンピュータとかをうまく扱えずバグるクラウド人間が作った謎の内製MDMを使ってて、ハードウェアチームはみんなコード持ち出してたとか、持ち込んで写経して回避してたとか、バージョン管理が~終了~してた、なんて話を見たことがありますね。Googleでさえ!
# Googleだからかもしれないけども。Pixelの不具合もさもありなんか。
Re: (スコア:0)
こういう想定される例外対応(例外でもないが)や、諸々ある泥臭い現場への対応可能度合いを比べると
Google<Apple<MSの序列は揺るがない気がする
Re: (スコア:0)
VMWareをインストールして、USBポートをゲストOSに割り当てると、以下自粛
ええ、Windowsじゃ開発ツールを動かせなかったんだよ!
なんとおやさしい (スコア:1)
SDカードリーダーのついたノートPCはお目こぼし
更には古のWirelessUSBやネットワーク越しの置き場は不問
などなど抜け道残すとか現場の苦労をわかっていらっしゃる
# 単に想像力に乏しいだけだろうけど
経営者に (スコア:2)
そんな詳細なところこまで説明求めても
我々現場ではリムーバブルディスクで一括して禁止しますね
https://ittrip.xyz/soft/windows/gpo-usb [ittrip.xyz]
Re: (スコア:0)
我々現場ではリムーバブルディスクで一括して禁止しますね
ではNVMeやSATAに余裕があればよいのですね(マテ
Re:経営者に (スコア:1)
てか普通にUSB接続でローカルディスクとして認識されるやつない?
Re: (スコア:0)
忘れ去られたeSATAの復権とか胸熱
Re: (スコア:0)
カメラによる撮影は申請書が必要な職場で、既に量産されている20mm角ぐらいの大きさの部品の写真撮っておいてと頼まれて、申請するのが面倒なのと部品番号が書かれている面が平らだったのでイメージスキャナーで取り込んで済ませた事があるのですが、リムーバブルディスクで規制されるとそういう隙は少ないですね。
QRコードにして印刷して持ち出せば規則には触れない?
外で作業した結果を持ち込めなさそうだけど。
Re:経営者に (スコア:1)
QRなら高々3kb弱しか入らないからなぁ
uudecodeかけて印刷よりはましなのかな?DESのコード持ち出すときにQRがあれば・・・
Re:経営者に (スコア:1)
uuencodeって書いたつもりなのになぜかuudecodeになってる。謎だ
#お前しかおらんやろ<俺
Re: (スコア:0)
でもさ 秘密鍵とか持ち出すならQRで十分じゃない?
人名住所等の名簿も、QRコード1個で数十人分は持ち出せそう。紙一枚にたくさんQRコードを印刷すれば、紙一枚で数百人とかいけそう。
NTTの方から来ました。 (スコア:0)
昔からNTTの個人情報は漏れてるなと感じてましたけど
漏れた場所がNTTだったのでまぁやっぱりってことですが
https://smbiz.asahi.com/article/15032430 [asahi.com]
今更禁止してももう国民全員分くらいは漏れているので意味がないかなと思っております。
USBのメモリの禁止効果が出るのはきっと10年先くらいではないかと
Re: (スコア:0)
昔からNTTの個人情報は漏れてるなと感じてましたけど
関連子会社がおいしく活用するのはみかじめ取れるが
リスト勝手に売っちゃったらおいしくないでしょう
ってことで厳しい対応なんですよきっと
原則と例外 (スコア:0)
「原則」もなく一切使わないような形にすると説明した。例外的に使用する場合は許可制とする考えを示した。
いや例外があるなら「原則もなく一切使わない」なんて言えないだろうよ。
「業務のなかで基本的には原則使わない」
と言っておきながら例外時のルールがガバガバだったんだろ?
Re: (スコア:0)
一切なら例外なしですよね。
結局がばがば運用なんでしょうね…。
一切使えないと問題が発生する現場があるのは事実、でもそれなら原則禁止という表現になるはずですがね。
一切信用ならんな、これは。
Re:原則と例外 (スコア:1)
>実際にガバナンスがきちんと効いていなかったこととして、対策として、グループ全体でのルールの確認と見直しを行うことを明らかにした。
確認したのでOK!
見直したのでOK!
#現場猫が喋る絵面が浮かんで消えた
実効性のある対策出さないのも凄いね
Re: (スコア:0)
安全より安心が重視されてる感じ。
ありがちなケース (スコア:0)
usbメモリ全面禁止にして、運用回るんだろうか?
原則禁止で使用を検知するソフトウェアまで導入済みだったのに使うのが黙認されていたのは、そうしないと運用上無理なケースがあるからでは?
その代替案を用意せずに禁止を進めたら、今度は各部署が勝手に野良ファイルサーバを設置し始めたりして、そこから情報漏洩することになりそうだけど
Re: (スコア:0)
> usbメモリ全面禁止にして、運用回るんだろうか?
6年勤めたNTTを退職しました [hatenablog.com]
4年前ですでにこれなのでお察し↓
2. 社内環境への絶望
筆頭に上がる絶望はセキュリティ環境で、<略>
Re: (スコア:0)
PPAP(暗号zip添付メール)って、まだどの程度使われているのかな?
最近スミフと取引をしたんだがPPAP使ってたなあ。
東証プライムでもその程度の意識なんだよな。
Re: (スコア:0)
だいぶ減ってる気がする、最近見たのは大手製薬会社の一社だけだなあ。
NTTの関連会社とのやり取りもあるが、今はPPAPではなく、パスワード付きのZIPでパスワードは弊社グループ名の三文字のアルファベットです、みたいな感じになってる。
Re: (スコア:0)
ぱっと思いつく限りだと、(半)閉域ネットワークのサーバやクライアント向け配信サーバで、ウイルスのデータベース更新はUSB経由かな。
OSやクライアントの更新もUSBを使いそうな気がする。
Re: (スコア:0)
usbメモリ全面禁止にして、運用回るんだろうか?
円盤禁止とは言われていないので往年の焼き職人の出番です
Re: (スコア:0)
>円盤禁止とは言われていないので往年の焼き職人の出番です
うちの部所には円盤回すドライブがもう無いよー
#自前のメモリドライブストレージ機器は接続禁止
Re: (スコア:0)
何処も基本は禁止にしてると思っていたのでビックりですわ
持ち出し不可原則で開発チームにUSBメモリ1つか2つ使用可能なモノを用意して
リーダーが使用状況を管理すると言うのが多かったなぁ
Re: (スコア:0)
ごめん、記事ちゃんと読んでなかた
Re: (スコア:0)
なおUSB接続機器を開発している模様。
Re: (スコア:0)
うちもBluetoothマウス支給してほしい
Re: (スコア:0)
許可制で使えるようにするなら無断でデータを持ち出されなければ良いので、
金融機関でやってるような利用時には管理者がずっとそばで監視しているっていう運用でいいのでは。
親戚系ですが、 (スコア:0)
USBメモリなど禁止、クラウドストレージサービスも禁止、は理解できるし
代わりに自社製クラウドストレージつかえ、もまあ良いとして、
客先からはそれは許可されない、というのに困っている
出来が悪いということらしい
某官公庁などなど (スコア:0)
セキュリティ対策のため、フロッピーディスクの使用が禁止されたころ、職員はMOディスクを使っていた...なんて話を聞いたことがある。