NICTの業務委託先がノートPCを紛失、実施されていた情報漏洩対策の詳細を公開 77
ストーリー by nagazou
対策 部門より
対策 部門より
国立研究開発法人情報通信研究機構(NICT)は9月21日、業務委託先であるTBSグロウディアが、NICTのセキュリティ人材育成プログラム「SecHack365」の2023年度受講生の情報を含むノートPCを9月16日に紛失したことが判明したと発表した。TBSグロウディアは警察署に遺失届を提出したが、現時点でノートPCは見つかっていない(NICT)。
このノートPCにはSecHack365の2023年度受講生の氏名、フリガナ、受講コース・ゼミの情報が保存されている。ただ、情報漏洩対策がされていたため、情報の不正使用の兆候は確認されていないという。情報漏洩対策としては、以下の措置が取られていたという。
・OSのディスク暗号化機能の有効化とPINによるデータの保護
・OSへのログインパスワードの長さと複雑さの確保
・OSへの2段階認証の設定(トークンなどの紛失はない)
・商用のIT資産管理ツールの導入によるログ管理
・紛失時にノートPCがシャットダウンし、OSからログオフされていたこと
以上の措置により、情報漏洩の危険性は最小限に抑えられたが、引き続き対策の強化に努めるとしている。
このノートPCにはSecHack365の2023年度受講生の氏名、フリガナ、受講コース・ゼミの情報が保存されている。ただ、情報漏洩対策がされていたため、情報の不正使用の兆候は確認されていないという。情報漏洩対策としては、以下の措置が取られていたという。
・OSのディスク暗号化機能の有効化とPINによるデータの保護
・OSへのログインパスワードの長さと複雑さの確保
・OSへの2段階認証の設定(トークンなどの紛失はない)
・商用のIT資産管理ツールの導入によるログ管理
・紛失時にノートPCがシャットダウンし、OSからログオフされていたこと
以上の措置により、情報漏洩の危険性は最小限に抑えられたが、引き続き対策の強化に努めるとしている。
追跡 (スコア:2)
Re: (スコア:0)
普段使いのスマホにGPSついてるんだから、業務用ノートPCにはGPS必須にしてもいいような気がするんだが。
シャットダウンしてても動くように、時計用のボタン型電池で動くやつとか。
Re:追跡 (スコア:1)
GPSは魔法使いでも超能力者でもありませんよ
端末側測位システムですから、PCの位置はそのPCにしかわかりません
Re: (スコア:0)
この辺読むといいかもね。
https://www.weblio.jp/content/GPS%E3%81%AB%E3%81%BE%E3%81%A4%E3%82%8F%... [weblio.jp]
Re:追跡 (スコア:1)
何でWeblioみたいな転載サイトに誘導してるんですかね…
普通にWikipediaに誘導すればいいのに [wikipedia.org]
# 検索に引っかかってウザいサイトの筆頭
# 真っ先にブロックする対象
Re: (スコア:0)
普段使いのスマホにGPSついてるんだから、業務用ノートPCにはGPS必須にしてもいいような気がするんだが。/quote>
WindowsじゃなくiPad使えば解決じゃないですか
外部からでも消せるし
ノートPC紛失 (スコア:1)
どういうシチュエーションで紛失したのかが気になる。
身近な例だと
酔っ払って網棚にPCを入りのカバンを放置して電車から降りた
ってのがあったっけ
翌日とある駅ホームベンチでカバンは見つかったけど
PC他金目のものは無くなってたそうな
Re:ノートPC紛失 (スコア:3)
同じ事例は私の周りでもありました。
その人はクビになってしまいました。
Re:ノートPC紛失 (スコア:1)
クビはきついっすね
やばい情報入ってたのかな
Re: (スコア:0)
酒席NGなのに持っていった上に、紛失したら直ぐに報告を怠ったとか、その辺のコンボが効いてる気がする。
医者の不養生紺屋の白袴 (スコア:1)
>NICTのセキュリティ人材育成プログラム「SecHack365」の2023年度受講生の情報を含むノートPCを9月16日に紛失
そもそもNICT自身にセキュリティ意識がないし、『セキュリティ人材育成プログラム』を講義する資格がないだろ。
むしろNICTの全職員がセキュリティ人材育成プログラムを受けろよ…
Re:医者の不養生紺屋の白袴 (スコア:2, おもしろおかしい)
セキュリティ事故は起きてはならないし原発は爆発してはならないから
事故が起きない対策だけしっかりすべきで起きたときのことは考えてはならないんだよね。
Re: (スコア:0)
事故が起きたときどうすかなんて考えても、安心は守られませんからね。
Re:医者の不養生紺屋の白袴 (スコア:1)
> ゼロトラストもその考え
マイクロセグメンテーションとかサイバーレジリエンスはその考えだけど、ゼロトラストは別にその考えじゃないだろ。
Re:医者の不養生紺屋の白袴 (スコア:1)
> 業務委託先であるTBSグロウディアが
NICT職員のせいにされて可哀想ス
委託先の選定を間違えたという意味ならそうかもしれない
Re:医者の不養生紺屋の白袴 (スコア:3, すばらしい洞察)
委託先でのやらかしは業務委託元にも責任があるに決まってるだろ。業務委託は責任回避の手段ではない。
Re:医者の不養生紺屋の白袴 (スコア:1)
日本政府、さらには主権者である国民の責任ですね
Re:医者の不養生紺屋の白袴 (スコア:1)
ランサムウェアの被害にあった企業の記事のヤフコメで「感染するのは安全管理が成ってない」だのなんだの的外れ、時代錯誤なコメント書いてる”エキスパート”がいたけど、それと同じ匂いがする
Re: (スコア:0)
なんか素人っぽいから君が受けたらどうだ?
セキュリティ対策とは事故起こる前提で運用するもんだぞ
その上で、列記されてるような内容で対策してるのであればやるべきことはやってると思うがね
データの所在 (スコア:1)
不味いと思う。
あるまじき行為 (スコア:0)
>情報漏洩対策としては、以下の措置が取られていた
それ以前の問題
外部に持ち出すとかありえない
ノートPCを持ち出して街で油売ってて紛失?
拾った輩はそんな中身のゴミデータはどうでもいい
ノートpcゲットォー!って大喜び
初期化してそのまま使う
Re: (スコア:0)
> 拾った輩はそんな中身のゴミデータはどうでもいい
だったら問題無い事になるじゃん、それ以前の以前に問題が無くなる。
ノートPCの賠償を誰かがするだけ。
もしかしたら、PCを盗む所も、セキュリティ人材育成プログラムの一環なんじゃね?
この後のセミナーで、解析したデータを発表しあうという、実践的な実習かも・・・
Re: (スコア:0)
ゴミかなぁ?
然るべきところに持ち込めば、かなりの金になると思うが。
委託先のTBSグロウディア (スコア:0)
TBSの子会社らしいですが、何の業務を委託してたのか気になりますね。
https://www.tbsglowdia.co.jp/ [tbsglowdia.co.jp]
Re: (スコア:0)
リンク先を見たけど何の会社かわからず。
多分TBSグループの管理会社ってよりは、宣伝部門ってところなんでしょうかねw
私たちの目的、存在意義
どこを目指すのか?
私たちの価値観、共通する信念
興行・催事、番組販売、TVショッピング等の物品販売、 DVD・配信等の映像関連、ラジオ番組制作・放送技術、デジタル関連 等
Re: (スコア:0)
デジタル技術事業 [tbsglowdia.co.jp]で何か開発か、企業イベントの運営 [tbsglowdia.co.jp]周りかも。
派13-312782 [mhlw.go.jp]
Re: (スコア:0)
対策 (スコア:0)
順当に解釈すれば、それだけの対策をしてあったら問題なさそうです。
しかし、いじわるを申し上げますと、
> OSへのログインパスワードの長さと複雑さの確保
このことから、当該パスワードが付箋にでも書かれて、紛失したパソコンに挟まれていたりということが、まさかあったりはしないでしょうか。
あるいは、システムパーティションは暗号化されていたが、実は個人情報は別のデータパーティションに保存されており、
そのデータパーティションは暗号化されてなかった、とかの事態もありえます。
Re: (スコア:0)
いじわるじゃなくて難癖でしょ
Re: (スコア:0)
ふむ。1台のPCを二人で持ち運ぶようにすれば紛失は避けられるのでは?
Re: (スコア:0)
PとCで分けて運ぶのかな
Re: (スコア:0)
PapaとChildかな
MasterとSlaveで組み合わせると怒られそうなので
Re: (スコア:0)
パパ活っすか。
Re: (スコア:0)
>このことから、当該パスワードが付箋にでも書かれて、紛失したパソコンに挟まれていたりということが、まさかあったりはしないでしょうか。
あったとしても、”OSへの2段階認証の設定(トークンなどの紛失はない)”していたら問題ないでしょ。
Re:対策 (スコア:2)
まあ、二段階認証は二要素認証を包含するから、間違いではないけど。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
パソコン先生程度だと知らんと思うがそれLinuxでも普通に出来るよ
BitLocker使ってるのかな (スコア:0)
OSのディスク暗号化機能が一番効果的ですね、
BitLockerはコストがかからないのでもっと一般的に使われればいいと思います。
あとはこの記事を読んでいて新しい暗号化方式のアイデアを思いつきました
Veracrypt (スコア:0)
WindowsOS標準のはNSA問題で論外。「Veracrypt」一択
ノートPC紛失は「ありき」? (スコア:0)
テレワークがそれなりに浸透した昨今、機密の軽重あれどデータの入ったノートPCを持ち運ぶ事を前提としている現場も多いだろう。
物理的な紛失の回避を努力はすれど、十分な数のケースがあればミスをゼロにできるとする考え方は現実的ではない。
と想定すれば、確率的にノートPC紛失の発生は起こるものであり、それは前提でセキュリティを維持するべき?
(→詰めると当該従業員に物損以上の責を問わない思想になる)
IPA・・・ (スコア:1)
セキュリティと言えばIPA。モバイルデバイスの情報漏洩対策設定マニュアルを公開しています。 [ipa.go.jp]
今回、取り扱われた情報は氏名と受講講座名ですので、情報価値レベルは2と3の中間あたりで、
最低限のセキュリティ対策は利用者認証の厳格化と暗号化による対策の多重化。具体例として、
が示されています。
今回の事例ではファイルの暗号化については記載されていませんが、
その点は対策不足と指摘できるでしょうか?
# 不必要に持ち出すべきではないは当然として、
# 持ち出すときの対策はsradでは会話のネタにならない?
Re: (スコア:0)
ファイルの暗号化・・・ファイル名はそのままなのですね!
受講生毎にファイルが作られていて中身みれなくとも受講生の名前は漏洩すると。
ドライブの暗号化するのが筋でファイル単位にやってもあんまり意味ない。
Re: (スコア:0)
置き忘れみたいなミス以外にも盗難もあるからなぁ。肌身離さず持っとけって?
Re:ノートPC紛失は「ありき」? (スコア:1)
普通のセキュリティワイヤーを取付けて、
ワイヤーを袈裟懸けにする
Re: (スコア:0)
社会に目を向けよう、例えば車
確率的に事故は避けられん
シートベルトやエアバッグはその事故ありきの対策だが、それはそれとしてその事故に過失があれば罰せられるだろ
世界中で行われているごく普通の運用
『回避の努力』とやらで責が変わる(こともある)のも同様
Re: (スコア:0)
それはむしろ事故のダメージを無効化するのが不可能だから事故を回避するための手段を講じるしかないごく普通のパターンであって。
たとえ話ならもっと良いものを。
Re: (スコア:0)
在宅勤務してても時には出社するだろ。
そしたら作業用のPCは結局持ち帰りなんだから紛失前提は当然だろ。
そうでなくとも自宅に空き巣に入られたとか、当人に責のない事態だって簡単に想像つくだろ。
どこでも紛失時はどうするかってマニュアル化してるものだと思ってたが。
Re: (スコア:0)
シンクラ使えって話だよ
VDIサーバの費用どうすんのという別の問題が出てくるが
Re: (スコア:0)
そこに繋ぐ端末はどうするのさ。
純粋なシンクライアントなんて今時存在するのか?ノートパソコンかタブレットしか選択肢ないだろ。
どうしたってローカルに何か残るから同じさ。
Re: (スコア:0)
端末なんて大した性能いらんのだからお古にクライアント突っ込んでキオスク化でもすりゃいいだろ
んで、ノートでもタブレットでもオンメモリのファイルシステム被せりゃ通常利用なら保存されようがない
そもそもシンクラ使ってローカルに何か残るって何の話だ?
画面転送プロトコルだけ許可して、プロトコル内でファイル・クリップボード転送は禁止にすりゃ
情報流出なんか後はディスプレイを写真取るくらいしか出来んぞ
SecHack365 (スコア:0)
忙しいと書いて心を亡くしそうなプログラムですね。
そりゃノートも無くす。