パスワードを忘れた? アカウント作成
17934046 story
NTT

NTT社長いわく「USBメモリーは使用禁止で許可制」 57

ストーリー by nagazou
一切禁止、完全禁止、絶対禁止 部門より
NTT西日本の子会社であるNTTマーケティングアクトProCXで発生した個人情報流出の問題に対応するため、NTTの島田明代表取締役社長は、7日のNTT決算会見でUSBメモリの業務使用を一切禁じる方針を発表した(ケータイ Watch)。

島田社長は会見で事件について謝罪。NTTグループ内では、記録媒体の持ち込み禁止や操作を検知するソフトウェアの導入などルール化はされていたと説明。実際にガバナンスがきちんと効いていなかったこととして、対策として、グループ全体でのルールの確認と見直しを行うことを明らかにした。

さらにUSBメモリーの業務使用に関しては、従来の「業務のなかで基本的には原則使わない」とする方針から、「原則」もなく一切使わないような形にすると説明した。例外的に使用する場合は許可制とする考えを示した。同時に、操作検知の仕組みの徹底と抜き打ち監査も検討していると述べている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hinatan (24342) on 2023年11月13日 15時16分 (#4562977) 日記

    Windows だとこれかな
    ほぼほぼ17年前から使える・・

    USB 記憶装置を使用できないようにする方法
    https://support.microsoft.com/ja-jp/topic/usb-%E8%A8%98%E6%86%B6%E8%A3... [microsoft.com]

    定期的にこの話題があって、ここでもハードウエア的に潰す議論があったように思う
    キーボードもマウスも bluetoothあるんで一般社員だとまず潰してもいい

    ハード屋さんはいるねぇ

    • by Anonymous Coward on 2023年11月13日 15時27分 (#4562990)

      AD環境なら、グループポリシーで一括して止められますね。割とよくやる手なので資料もネット上にたくさんあって
      https://ittrip.xyz/soft/windows/gpo-usb [ittrip.xyz]
      https://btsn.hatenablog.com/entry/2019/05/08/234624 [hatenablog.com]
      などなど。

      許可したPCには別のポリシー割り当てるなどで一時的に解除もできるから、Windows PCなら簡単。

      ※しかし「例外的には許可制」なら、それを「原則禁止」というのでは。

      親コメント
      • by hinatan (24342) on 2023年11月13日 15時45分 (#4563018) 日記

        やっぱりそういうのありますよね

        親コメント
        • by Anonymous Coward

          うちもADのGPでUSBは止めてあるんだが、いまどきなんとも仕事でDVD媒体読み込んで…って仕事があるのでそのひとたち用のPCは申請させて個別にレジストリを変更してる
          DVD使うのやめてネットのサービスに切り替えればいいのに人数分のアカウント料金を合計したらナントカカントカ言ってて ブホブホ
          デジカメの写真もPCに取り込まないといけないから当然、USBメモリは読み書きできるDVDに書き込みなんてちゃめしごと
          こういう部署があるとどんだけガーガー言ってやってみたところで所詮はねー
          美しく高らかに宣言したセキュリティ・ポリシーに穴開けて最悪むごたらしいことになりかねんのよね

    • by Anonymous Coward on 2023年11月13日 15時31分 (#4562998)

      仮想デスクトップにしてしまって、仮想デスクトップ側からローカルにファイル転送できなくするという方法もあります
      ただ、該当の件だと「システムの保守担当の派遣社員が、管理者アカウントでデータをダウンロード」という経路なので、もっと根本的に体制から見直さないとダメだと思います

      親コメント
      • by Anonymous Coward

        仮想デスクトップにしてしまって

        RDPやVNCやシンクライアントかな?
        過去でも現代でもWinでもLinuxでも仮想デスクトップってPC内の別画面ではないかと

      • by Anonymous Coward

        たしか事故後に発表された再発防止策のひとつに入ってたね。
        リモート接続した先からファイルのダウンロードまでできるように
        なっていたので、ダウンロードはできないようにするといった内容。

    • by Anonymous Coward

      いうても記録媒体の持ち込み禁止や操作を検知するソフトウェアは導入されていたようだが監視が不十分だったということだろうか。
      うちも監視はしてるから何かあった時は逃がさんが使用は自由のポリシーなのだけれども。

    • by Anonymous Coward

      bluetooth許可する方がヤバいと思うのは素人考えですかね

      • by hinatan (24342) on 2023年11月13日 15時47分 (#4563024) 日記

        なるほど。スマホに転送とかできるから?
        サポセンとかでなければ、スマートフォン禁止までできんから。

        だからWindows でのポリシー設定のほうが安全ということね。

        親コメント
      • by Anonymous Coward

        bluetooth許可する方がヤバいと思うのは素人考えですかね

        USBもBT禁止なのにNFCで入館認証というガバガバなとことかありそう

        # NFCでファイル転送できちゃうよね

        • by Anonymous Coward

          業務用PCにNFC装置がついて・USBで追加ができなくても、入館システム管理用PCを攻撃して人員情報は盗めるとか?
          まあ製薬会社とか軍隊とかは気を付けたほうがいいのかもしらん

          • by Anonymous Coward

            テナントで入居してるならビル管側の入退室管理とテナントさんのシステムをつなぐわけにはいかないのでね
            ビル側の入退室管理はセキュリティドアにカード番号を送信して蓄積させて、カードがタッチされたら開ける/開けないをさくっと判断してやってる
            ふつーはビル管のシステムはいわゆる外部ネットワークとは切り離されたクローズドにしておかないと
            冷熱、電力、空調まで管理してるシステムだから外部ネットワークにつなぐとか基本的にはもってのほか
            ちょっとテアイ異なるけど過去の経験からだと340Wのサーバーを240台、1部屋でブンブンいわしてて、ある日、地下のチラーが故障した(制御してたマイコン死んだ)んだが
            15分で室温40度超えてサーマルでばちばち落ちだしてしまってばいしょ くぁwせdrftgyふじこlp うに ゲフンゲフン

            • by Anonymous Coward

              でもサブシステムはインターネットに繋がってるでしょ
              挙げられてる温度警告の他に電力管理もサプライ警告も遠隔監視システムも…

      • by Anonymous Coward

        bluetoothのデータ転送速度って有線規格に比べたら気が遠くなるほど遅いから大規模漏洩を想定するならUSBよりよほど安全だと思う。
        データ転送そのものを縛りたいなら許可するプロファイル縛っちゃえばいいだけだし。

    • by Anonymous Coward

      USB Type-C のコネクタだとロック付の蓋を被せるのは難しそうだな
      それでもなんとかロックかけるアイデア商品が出てくるかな?
      法人向けにType-Cコネクタ部分をロックして接続不能に出来るノートPCがあっても良い

      • by Anonymous Coward

        昨今だとUSB Type Cからでないと充電できないノートPCばっかりだぞ

    • by Anonymous Coward

      ハード屋としては評価が全く出来なくなりますね。

      UART(D-sub9)は最近だとついている事がニュースになるぐらい皆無。
      最近のノートだとEthernet(RJ45)すらついてないPCが増えてる。
      各種CPUやらFPGA・SPI Flashの書き込みもほぼUSBが必要。
      そもそもJTAGのPC側はUSBが主流。
      設計用だけど(ライセンスによっては)CADとかのドングルの口がUSBなのも山ほど。

      # 意外と面倒なのがケーブル。
      # 未だUSB2のA-Bタイプのケーブルが必要だったりするのもあるし
      # もちろんMini-Bもまだまだ現役。秋月に売ってるからいいけど。

      • by 90 (35300) on 2023年11月13日 16時27分 (#4563068) 日記

        その辺って世間一般では極端に理解度が低くて、Googleでさえある時まで複数NICとか変なマスストレージもどきとかLinuxじゃないコンピュータとかをうまく扱えずバグるクラウド人間が作った謎の内製MDMを使ってて、ハードウェアチームはみんなコード持ち出してたとか、持ち込んで写経して回避してたとか、バージョン管理が~終了~してた、なんて話を見たことがありますね。Googleでさえ!

        # Googleだからかもしれないけども。Pixelの不具合もさもありなんか。

        親コメント
        • by Anonymous Coward

          こういう想定される例外対応(例外でもないが)や、諸々ある泥臭い現場への対応可能度合いを比べると
          Google<Apple<MSの序列は揺るがない気がする

    • by Anonymous Coward

      VMWareをインストールして、USBポートをゲストOSに割り当てると、以下自粛
      ええ、Windowsじゃ開発ツールを動かせなかったんだよ!

  • by Anonymous Coward on 2023年11月13日 15時28分 (#4562991)

    SDカードリーダーのついたノートPCはお目こぼし
    更には古のWirelessUSBやネットワーク越しの置き場は不問
    などなど抜け道残すとか現場の苦労をわかっていらっしゃる

    # 単に想像力に乏しいだけだろうけど

    • by hinatan (24342) on 2023年11月13日 15時44分 (#4563016) 日記

      そんな詳細なところこまで説明求めても

      我々現場ではリムーバブルディスクで一括して禁止しますね
      https://ittrip.xyz/soft/windows/gpo-usb [ittrip.xyz]

      親コメント
      • by Anonymous Coward

        我々現場ではリムーバブルディスクで一括して禁止しますね

        ではNVMeやSATAに余裕があればよいのですね(マテ

      • by Anonymous Coward

        カメラによる撮影は申請書が必要な職場で、既に量産されている20mm角ぐらいの大きさの部品の写真撮っておいてと頼まれて、申請するのが面倒なのと部品番号が書かれている面が平らだったのでイメージスキャナーで取り込んで済ませた事があるのですが、リムーバブルディスクで規制されるとそういう隙は少ないですね。

        QRコードにして印刷して持ち出せば規則には触れない?
        外で作業した結果を持ち込めなさそうだけど。

        • by shinshimashima (9763) on 2023年11月13日 22時38分 (#4563386) 日記

          QRなら高々3kb弱しか入らないからなぁ

          uudecodeかけて印刷よりはましなのかな?DESのコード持ち出すときにQRがあれば・・・

          親コメント
          • by shinshimashima (9763) on 2023年11月14日 16時11分 (#4563800) 日記

            uuencodeって書いたつもりなのになぜかuudecodeになってる。謎だ

            #お前しかおらんやろ<俺

            親コメント
          • by Anonymous Coward

            でもさ 秘密鍵とか持ち出すならQRで十分じゃない?
            人名住所等の名簿も、QRコード1個で数十人分は持ち出せそう。紙一枚にたくさんQRコードを印刷すれば、紙一枚で数百人とかいけそう。

  • by Anonymous Coward on 2023年11月13日 15時14分 (#4562975)

    昔からNTTの個人情報は漏れてるなと感じてましたけど
    漏れた場所がNTTだったのでまぁやっぱりってことですが
    https://smbiz.asahi.com/article/15032430 [asahi.com]
    今更禁止してももう国民全員分くらいは漏れているので意味がないかなと思っております。
    USBのメモリの禁止効果が出るのはきっと10年先くらいではないかと

    • by Anonymous Coward

      昔からNTTの個人情報は漏れてるなと感じてましたけど

      関連子会社がおいしく活用するのはみかじめ取れるが
      リスト勝手に売っちゃったらおいしくないでしょう
      ってことで厳しい対応なんですよきっと

  • by Anonymous Coward on 2023年11月13日 15時35分 (#4563001)

    「原則」もなく一切使わないような形にすると説明した。例外的に使用する場合は許可制とする考えを示した。

    いや例外があるなら「原則もなく一切使わない」なんて言えないだろうよ。

    「業務のなかで基本的には原則使わない」

    と言っておきながら例外時のルールがガバガバだったんだろ?

    • by Anonymous Coward

      一切なら例外なしですよね。
      結局がばがば運用なんでしょうね…。

      一切使えないと問題が発生する現場があるのは事実、でもそれなら原則禁止という表現になるはずですがね。
      一切信用ならんな、これは。

      • by nemui4 (20313) on 2023年11月13日 15時47分 (#4563025) 日記

        >実際にガバナンスがきちんと効いていなかったこととして、対策として、グループ全体でのルールの確認と見直しを行うことを明らかにした。

        確認したのでOK!
        見直したのでOK!
        #現場猫が喋る絵面が浮かんで消えた

        実効性のある対策出さないのも凄いね

        親コメント
    • by Anonymous Coward

      安全より安心が重視されてる感じ。

  • by Anonymous Coward on 2023年11月13日 15時43分 (#4563015)

    usbメモリ全面禁止にして、運用回るんだろうか?
    原則禁止で使用を検知するソフトウェアまで導入済みだったのに使うのが黙認されていたのは、そうしないと運用上無理なケースがあるからでは?
    その代替案を用意せずに禁止を進めたら、今度は各部署が勝手に野良ファイルサーバを設置し始めたりして、そこから情報漏洩することになりそうだけど

    • by Anonymous Coward

      > usbメモリ全面禁止にして、運用回るんだろうか?
       
      6年勤めたNTTを退職しました [hatenablog.com]
      4年前ですでにこれなのでお察し↓

      2. 社内環境への絶望
      筆頭に上がる絶望はセキュリティ環境で、<略>

      • by Anonymous Coward

        PPAP(暗号zip添付メール)って、まだどの程度使われているのかな?
        最近スミフと取引をしたんだがPPAP使ってたなあ。
        東証プライムでもその程度の意識なんだよな。

        • by Anonymous Coward

          だいぶ減ってる気がする、最近見たのは大手製薬会社の一社だけだなあ。
          NTTの関連会社とのやり取りもあるが、今はPPAPではなく、パスワード付きのZIPでパスワードは弊社グループ名の三文字のアルファベットです、みたいな感じになってる。

    • by Anonymous Coward

      ぱっと思いつく限りだと、(半)閉域ネットワークのサーバやクライアント向け配信サーバで、ウイルスのデータベース更新はUSB経由かな。
      OSやクライアントの更新もUSBを使いそうな気がする。

    • by Anonymous Coward

      usbメモリ全面禁止にして、運用回るんだろうか?

      円盤禁止とは言われていないので往年の焼き職人の出番です

      • by Anonymous Coward

        >円盤禁止とは言われていないので往年の焼き職人の出番です

        うちの部所には円盤回すドライブがもう無いよー
        #自前のメモリドライブストレージ機器は接続禁止

    • by Anonymous Coward

      何処も基本は禁止にしてると思っていたのでビックりですわ
      持ち出し不可原則で開発チームにUSBメモリ1つか2つ使用可能なモノを用意して
      リーダーが使用状況を管理すると言うのが多かったなぁ

      • by Anonymous Coward

        ごめん、記事ちゃんと読んでなかた

      • by Anonymous Coward
        うちも開発PCを含めUSBは全面禁止。
        なおUSB接続機器を開発している模様。
        • by Anonymous Coward

          うちもBluetoothマウス支給してほしい

    • by Anonymous Coward

      許可制で使えるようにするなら無断でデータを持ち出されなければ良いので、
      金融機関でやってるような利用時には管理者がずっとそばで監視しているっていう運用でいいのでは。

  • by Anonymous Coward on 2023年11月13日 17時48分 (#4563170)

    USBメモリなど禁止、クラウドストレージサービスも禁止、は理解できるし
    代わりに自社製クラウドストレージつかえ、もまあ良いとして、
    客先からはそれは許可されない、というのに困っている
    出来が悪いということらしい

  • by Anonymous Coward on 2023年11月13日 23時17分 (#4563400)

    セキュリティ対策のため、フロッピーディスクの使用が禁止されたころ、職員はMOディスクを使っていた...なんて話を聞いたことがある。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...