USB接続したスマホ経由での情報流出に注意を 39
ストーリー by hylom
盲点 部門より
盲点 部門より
あるAnonymous Coward 曰く、
近年では企業の情報統制が厳しくなっており、PCのUSBインターフェイス使用に制限が加えられていることも少なくない。しかし、USB接続のストレージが利用できないように設定されていても、スマートフォンをUSB接続した場合はファイルのやり取りができてしまう、という場合があるという(日経ITpro)。
PCにスマートフォンを接続した場合、PCはスマートフォンをUSB接続のストレージ(USBマスストレージ)ではなく、「Windows Portable Devices(WPD)」として認識される場合があり、この場合はUSBマスストレージの使用を制限していてもデータのやり取りが可能になってしまうという。先日のベネッセからの顧客情報流出事件では、これを利用してデータが外部に持ち出されたと報じられている。
なお、最近のセキュリティツールではWPDに対する制限も可能になっているとのこと。また、Active Directoryのグループポリシ設定でもアクセス制限は可能だという。セキュリティ担当者の方はご注意を。
某社では (スコア:1)
USBに何かつないだ時点でPCから大音量を発し、何をつなごうとも始末書を書かせるようになっていた。
端末も全部シンクライアントだから無線関連のアダプタは一切無いし、CD等のメディア類も使えない。
出社帰社時には警備員にカバンの中身をチェックされ、自宅の私用PCにもP2Pソフト等を検知するツールのインストールを義務付けられたところでも
情報漏えい事故あったし、どんなに厳しく取り締まっても無くすことは不可能だと思う。
ベネッセの件でも犯人は顧客のDBにアクセスできるという強力な権限を持っているにも関わらず月30万ちょい程度の給与だった。
たかだか数十万数百万でバレたら捕まるようなことをする気になってしまう多重派遣の仕組みやエンジニアの低評価を是正するほうが先ではなかろうか。
ベネッセの件でエンジニアの給与月30万ちょいなんて聞いた若者はまずITエンジニアにはなりたくなくなるだろうから、エンジニアの減少に繋がるのでは
ないかと少し不安だ
Re:某社では (スコア:1)
マ、マウスとキーボードは?
Re: (スコア:0)
もちろんPS/2です!(違
Re: (スコア:0)
高い給料貰ってるエンジニアだって研究成果をひっさげて競合社に転職するんだし。
Re:某社では (スコア:3)
でも待遇改善の交渉材料にはなるんじゃないですかね。
交通機関なんかは、ストライキで多くの人に迷惑をかけてやるぞっていう部分が交渉材料として効いているのでしょうし、
給料上げないと個人情報流出させちゃうぞ、っていうのも口では言わなくとも今後ますます暗黙の材料になるんじゃないですかね。
Re:某社では (スコア:1)
それって、待遇改善されるから転職してんじゃないの?
Re: (スコア:0)
銀行の場合は着服を防ぐために良い待遇にしてるそうです
Re: (スコア:0)
情報=タダという認識だから。
Re: (スコア:0)
割れ窓理論というのがありまして、サービス残業とかモラルハザードが常態化した労働環境ではモラルが低下し「ばれても捕まらない」「みんなやっている」「自分だけじゃない」という心理が働くと思います。
Re: (スコア:0)
無給のボランティアに依存したところは悪の巣窟にもなりかねませんね。
Re: (スコア:0)
そもそも無給のボランティアの現場=待遇が悪い=労働環境が悪い、としてるのはどういうロジックなんでしょうか?
Re: (スコア:0)
あんたは今の給与のままで目の前にある千円の価値のものをバレたら捕まるとわかっていてもパクるの?
もし月100万もらったとしても目先の1万円で犯罪を犯すのか?
いくらもらおうともお金のために犯罪を犯すなら相当心根腐ってるね
Re: (スコア:0)
金のために犯罪とかあるわけないじゃん。
Re: (スコア:0)
君が言うとおり、相当心根腐ってる人ならいくらもらおうとも犯罪を犯すのであり、
今の給与のままで目の前にある千円の価値のものをバレたら捕まるとわかっていてもパクるし、
もし月100万もらったとしても目先の1万円で犯罪を犯すので、
待遇改善で情報流出が防げると思うのは全くの幻想だね
Re: (スコア:0)
情報流出はすべて相当心根腐ってる人しか行わないということになるが実際はそうじゃないよね。
Re: (スコア:0)
#2648246と#2648256はどちらも十分な待遇を受けているケースについて述べている。
逆に言えば、どちらも「待遇が不十分なら、情報流出させる人がいる」ということには異論はない。
もし俺が「待遇が不十分でも、情報流出は行わない」と主張するなら、俺の主張は「情報流出はすべて相当心根腐ってる人しか行わない」となり、
他の理由で情報流出に手を染めるひともいることから俺は間違っていることになるが、
俺は「待遇が不十分でも、情報流出は行わない」などとは言っていないし、他の誰も言っていない。
「相手の主張を捏造し、その矛盾を指摘して反論したつもりになる」という、典型的な詭弁だね
Re: (スコア:0)
「待遇改善で防犯効果が得られるか」が本題じゃなかったのか?
つまり待遇は十分でなく改善の余地がある、というのが前提だよ
で、あなたも認める「待遇が不十分なら情報流出させる人」に対しては、待遇改善は防犯効果がある
Re: (スコア:0)
待遇が不十分な人のうち、1割に「心根の腐った人」が含まれるとしよう。
待遇を改善すれば9割の人の犯行は防げるが、残りの1割の犯行は防げない。
これが本屋で中学生が万引きするというケースだったら、万引き犯のうち9割を減らせれば被害額はだいたい9割減になる。
被害が9割減になれば大いに防犯効果はあるといえるだろう。でも情報流出という犯罪はそうはいかない。
たった一人でも犯行に及べば莫大な損失が出る。その一回の犯行を防げなければ、防犯効果があるとは言いがたいな。
しかも、待遇は改善すれば改善するほど犯行は起きにくくはなるだろうけど、結局はコストとのトレードオフになる。
ベネッセの事件では犯人に借金があった。いかなる額の借金があろうとも即座に返せるような好待遇、というのは無理がある。
Re: (スコア:0)
おそらく最近の若者は、月給30万は「高待遇」という印象を持つと思いますよ
Re:某社では (スコア:1)
月給30万USDなら……
いや、年俸30万USDでも……
Re: (スコア:0)
就活時に企業研究したりして企業規模や業務内容まで考えられる若者であればそういう印象をもたないと思いますよ。
Re: (スコア:0)
>自宅の私用PCにもP2Pソフト等を検知するツールのインストールを義務付けられたところ
一度そういうところにぶち当たりましたが、自宅に対しての義務付けって雇用契約の範囲を超えてると感じました。
面と向かって講義する人も居なかったので、Linuxしか使ってませんと嘘をついて避けました。
できれば嘘は付きたくありませんが、変なソフト(大手会社制でしたが)を入れさせられるのは嫌です。
法律的な問題に引っかからないのでしょうか。
Re: (スコア:0)
Linuxしか使ってませんと嘘をついて避けました。
私の場合は嘘でも何でもなかったのですが、「Linuxを使ってる」って言っただけで「Linuxって何?」から説明させられて大変でした(今でこそ「AndroidのベースになっているOSです」で通りますが..)。
結局「何をどうやってもいいから動かせ」ということになり、当時のwineで何とか動かしてログを提出しました(もはや何のために動かしているのかすら不明ですが)。
お陰であの手のソフトの表には決して出せない裏の挙動などがよくわかって、いろいろ勉強になりました。
Re: (スコア:0)
「Linuxって何?」ってひどいな。
win95デビュー頃じゃあるまいし。。
Re: (スコア:0)
どれだけ好待遇であったとしても、どれだけ恵まれてたとしても、慣れちゃうのが人ですからね。
給与だの待遇だの関係なく、やる人はやるとしか言えないと思います。
好待遇のはずの公務員でも、談合の見返りなど目先の数十万のために、生涯の数千万をフイにしてしまうわけですし。
Re: (スコア:0)
と
給与に対してそこそこの大金が得られるからとやる人
は別に対立するわけじゃなくて両方いるってだけだよね。
Re: (スコア:0)
>>犯人は顧客のDBにアクセスできるという強力な権限を持っているにも関わらず
それは、本来意図された権限ではなかったのでは?
他にも (スコア:0)
Bluetoothアダプタとか有線LANとか無線LANアダプタとかいろいろあるんじゃないのか
Re:他にも (スコア:2)
USBメモリが使えない職場向けにUSB HIDで読み書きできるUSBメモリ的なものを作ったらみんな買ってくれるかな
Re:他にも (スコア:3, 参考になる)
USBメモリ(って言うかリムーバブルメモリ)だけを対策するのって、一般的なのかね?
弊社では、書込操作が可能なデバイスは、全部ダメに設定してあるみたい。
ホワイトリストに載っているものは例外。
USBシリアルケーブルがダメだったしね。
Re:他にも (スコア:3)
んで、音声出力が生きててCSAVEされたり。
画面の一部を白黒点滅させて通信したり。
懐かしい
Re:他にも (スコア:1)
Re: (スコア:0)
eメールに添付して社外へ送信するとか、クラウドストレージサービスを使うとか、
プリントアウトして紙を持ちかえるとか、色々考えられるよね。
新技術もどんどん登場するだろうし、端末側で食い止めるのは難しいんじゃないかな。
「ないよりマシ」程度。
サーバ側で、複数情報に頻繁なアクセスがあったらアラートを上げたりして、
最終的に目視チェックするしかなさそう。
Re:他にも (スコア:1)
新技術もどんどん登場するだろうし、端末側で食い止めるのは難しいんじゃないかな。
「ないよりマシ」程度。
かと言って、端末側での対策をしなくていい、って事にもならないね。
セキュリティなんてのは大抵の場合、「無いよりマシ」を積み重ねていくものじゃないかな。
サーバ側で、複数情報に頻繁なアクセスがあったらアラートを上げたりして、
最終的に目視チェックするしかなさそう。
それも完全じゃないだろ?
Re: (スコア:0)
メールも印刷もすべてアーカイブできるから追跡は楽。
USBなんかは、だれの持ち物なのか追跡が難しくなるから、禁止。
メール添付でやってくれって方針にしたのは俺だけど。
要は、どっちにしろ防ぐことはできないから、
漏れた場合の責任の追及ができる仕組みにしておくことだよ。
Re: (スコア:0)
新沼謙治の立ち入りも制限されるのだろうか・・・
入れる側としては (スコア:0)
もう物理的にポートが無い方がありがたいです。
マウスとキーボード?D-sub9ピンでいいですよ。
Re: (スコア:0)
D-sub9ピンこそデータ通信用のportじゃないの?
# 速度が遅いって話はあるだろうけど。
Re: (スコア:0)
昔のキーボードはそれだったような。。。(私、若いからよくわかりません