岡山県玉野市全市民の個人情報入りパソコン、東京の委託先業者が紛失 105
ストーリー by headless
紛失 部門より
紛失 部門より
taka2 曰く、
岡山県玉野市から下水道情報管理システムの構築を委託された東京のオリジナル設計株式会社が、全市民約6万5千件の住民基本台帳データの一部と、約5万6千件の水道使用者データを保存したノートパソコンを紛失したとのこと(オリジナル設計の記者発表資料: PDF、 玉野市からのお知らせ、 山陽新聞の記事、 YOMIURI ONLINEの記事)。
同社は昨年12月に業務を契約し、今年3月にシステムを納品。その後、個人データの加工と入力を行い、同社サーバーにバックアップを保存していたという。11月28日に玉野市下水道課との打ち合わせがあり、出席した社員が独断でサーバーからノートパソコンにシステムと個人情報データをコピーして携行した。打ち合わせ終了後社員は直帰したが、翌日出勤する際、地下鉄の車内にノートパソコンを置き忘れたとのことだ。その後、部署をあげてノートパソコンを探したが発見できず、12月4日に玉野市に報告および謝罪を行った。現在のところ、個人データの流出などは確認されていないという。同社は紛失したノートパソコンを起動するにはユーザー名とパスワードの入力が必要なため、社外の者が起動することは困難だとしている。
岡山県情報政策課によれば、「近年、県内自治体でこのような規模の情報紛失は聞いたことがない」とのことだ。
「社外の者が起動することは困難」? (スコア:5, すばらしい洞察)
> 紛失したノートパソコンを起動するにはユーザー名とパスワードの入力が必要なため、社外の者が起動することは困難
これって、ログインパスワードじゃないの?それともOS起動前に認証がかかるような仕組みでも採用してるのかなぁ。
それにしても、起動させなくても HDD 外したりすればデータが読み取れたりしませんかね。
# 発表資料で、暗号化の有無について触れられてないってことは、おそらくそういうことは何もされてない、と。
## しかし規定では暗号化することになってるようだが…
--
入手した者がそこまでするかは分からないが
Re:「社外の者が起動することは困難」? (スコア:1)
Re: (スコア:0)
HDD暗号化したなら、たいがいユーザー名は不要でパスのみでしょうか
Re: (スコア:0)
まともな運用の場合、ISO云々の認証を通すために
持ち出すためのPCにはUSBセキュリティトークン+ユーザ名、パスワードセットでディスク上のデータをすべて暗号化し、
PC起動時(OSではなくBIOS直後のレイヤー)で
ユーザ名、パスワードを数回間違えたら
リカバリ不能かつ他PCにディスクを載せ替えても中身は見えない、という運用をします。
というかせざるを得ません。
※ USBセキュリティトークンは要求セキュリティレベルに応じて無しの運用もアリ
そのうえで、今回の正式報道PDFには
>紛失したノートPC の起動には、
>当社の定めた規定に沿ったユーザー名及びパスワードの入力が
Re:「社外の者が起動することは困難」? (スコア:3, 興味深い)
ユーザ名、パスワードがなければOSが起動できないという事は、
逆に言いうと、OSが起動しているときには、ユーザ名、パスワードが何らかの形でDRAMの中にあるという事なので、
紛失したノートPCの電源が切れていなかった場合、ユーザ名、パスワードを類推することが可能ですよ。
http://news.mynavi.jp/news/2008/02/22/026/index.html [mynavi.jp]
Re:「社外の者が起動することは困難」? (スコア:5, 参考になる)
>ユーザ名、パスワードがなければOSが起動できないという事は、
>逆に言いうと、OSが起動しているときには、ユーザ名、パスワードが何らかの形でDRAMの中にあるという事なので
まず、今回の件で挙がっているセキュリティソリューションのほとんどは
コールドブートのとき、スクリーンセーバーからの復帰時、スリープからの復帰時などについて
(実際には、上記につながる状態遷移の際に認証済みであるという情報を強制破棄しているため)
強制的な再認証を要求するものがほとんどです。
ですので、OSにログインしたままでスクリーンセーバーもかからずスリープもしていない、
本当にOS操作可能なまま放置されていたのでもなければ、
ユーザー名とパスワードの入力が要求されることは間違いありません。
次に、上記のようなセキュリティソリューションでは
セキュリティソリューションでの認証後にOSが起動していても
(OSではなく、セキュリティソリューション側の)
ユーザ名、パスワードはDRAMの中には持たないのが一般的です。
実際には、ユーザ名、パスワードで認証が通ると
「認証が通った状態であることを証明する情報」がメモリ上に一時的に作成され、
これがある間は暗号化されたディスクの復号ができ、また端末の操作が可能となります。
この情報は、上記「それが破棄される契機」で強制破棄されます。
結果として、今回のノートPCを拾得したものが
ノートPCを開いてスリープから復帰した場合には、
ユーザー名もパスワードも、また「認証が通った状態であることを証明する情報」も存在しない状態で
ユーザー名とパスワードの入力を要求されます。
Re:「社外の者が起動することは困難」? (スコア:1)
> 実際この方法はそう簡単に(jbeef先生の様な方でなく、ごく普通にパソコンが扱える位の一般人が)できるものなのでしょうかね?
物理的には楽勝でできますね。
ダンプからパスワード等を特定できるかは別として。
Re:「社外の者が起動することは困難」? (スコア:2, 興味深い)
>物理的には楽勝でできますね。
そんな簡単じゃないですよ。
ICチップの表面はがして直にスキミングするとかもそうですが、
この手のものは
「理論上できるけど、実際やるにはとてつもなく大変で慣れた人間でも失敗がほとんど」です。
一様に極低温にした状態でうまくメモリを抜き出して他PCに接続し、
しかも低温すぎる温度ではなく他PCがアクセスできる程度の温度にして
適切なタイミングでデータを抜くことを試行する必要があります。
そこまでやって「抜けることもある」です。
本当の意味で一発勝負であれば専門の人間がやっても成功する確率は
データが抜ける時点でほぼ低く、抜いたデータにパスワードなどが含まれており破損していない確率はもっと低いものです。
この辺は、
「何度も何度も失敗を繰り返し、偶然超うまくいったときの動画だけ見ろと言っている」の典型例ですね。
Re:「社外の者が起動することは困難」? (スコア:1)
> 一様に極低温にした状態でうまくメモリを抜き出して他PCに接続し、
> しかも低温すぎる温度ではなく他PCがアクセスできる程度の温度にして
> 適切なタイミングでデータを抜くことを試行する必要があります。
> そこまでやって「抜けることもある」です。
その方法だとサルベージ側PCが結露して壊れるよ。
Re:「社外の者が起動することは困難」? (スコア:2, すばらしい洞察)
Re:「社外の者が起動することは困難」? (スコア:1)
>まともな運用
いやぁ、そんな運用してたらそもそも・・・
この杜撰な現実の運用とセットでありえるのはwindowsのログインパスワードだけと
普通は思いますね。
そんな情報はいっていたら、怖くて普通は持ち出せないと思いますし
ましてや網棚に乗せる神経が判らないです。
光回線導入したとき、端末装置の設定にきたおじさんが使用していたパソコンは、
指紋認証とかついていて流石と思いましたが。
なんせ、局側の設定もリモートでしてしまえるので、紛失したらしゃれにならないと。
Re:「社外の者が起動することは困難」? (スコア:1)
>まともな運用の場合、ISO云々の認証を通すために
>持ち出すためのPCにはUSBセキュリティトークン+ユーザ名、パスワードセットでディスク上のデータをすべて暗号化し、
>PC起動時(OSではなくBIOS直後のレイヤー)で
>ユーザ名、パスワードを数回間違えたら
>リカバリ不能かつ他PCにディスクを載せ替えても中身は見えない、という運用をします。
>というかせざるを得ません。
うちの会社だとBIOSパスワード(ユーザ名は無い)、HDD暗号化、OS loginUserとパスワードだけだ。
まともな会社ではないとは薄々思ってたけど、世間様から見るとそうだったのか・・・
(パスワード3つでも毎月変えたりするとめんどくさいのに)
典型的な紛失例 (スコア:5, 興味深い)
(そこそこの規模の会社ならどこもやってると思いますが)
社内教育の代表事例をそのままなぞってて苦笑。
とりあえず、あえて書くことでも無いですが
・独断(無断?)でデータをコピーしない(※1)
・個人情報を自宅へ持ち帰らない
・置き忘れるような持ち歩き方をしない(この場合は網棚の上か、隣の座席に置いていたのだと思いますが)
11/29に紛失して12/4に報告しているのも引っかかりますね。
・紛失を認識した時点で上長に報告(これ、紛失初日は一人で探してたんじゃないですか?)
事例として載っているということは過去にも同じ事をした人が居たのでしょうから、
単に気をつける、じゃなくてフールプルーフ的な考え方(※2)で動きましょうということで。
※1 データのコピーについては、厳格に守れている人はほとんど居ないと思います。直接作業する人は特に。
※2 (無断持ち出しは論外として)気軽に持ち帰らない、とかカバンを網棚に上げないとかはこの考え方ですよね。
置き忘れだけでなく、公共機関での居眠りによる盗難とか、自動車移動の場合は車上荒らしを警戒して手元に置いておくとかもありましたね。
Re:典型的な紛失例 (スコア:4, 参考になる)
・置き忘れるような持ち歩き方をしない(この場合は網棚の上か、隣の座席に置いていたのだと思いますが)
オフトピ承知だがあえて言わせていただきたい。
電車内で寝るときにはカバンの持ち手を掴んだくらいでは窃盗に遭いかねないという事を。
以前、人の少ない路線で持ち手を掴んだまま爆睡してたらカバンが開けられて携帯電話を盗まれたことがあったもので。
それ以来寝るときはちゃんとカバンを抱きかかえるようにして、丸まるように寝てる。
Re:典型的な紛失例 (スコア:5, すばらしい洞察)
寝んなよ
Re:典型的な紛失例 (スコア:1)
そこで、HDDにデータを保存できないシンクライアント導入で [fujitsu.com] セキュリティ確保 [hitachi.co.jp]ですよ!
HDDを持たないシンクライアント端末、物理キー、サーバソリューションを組み合わせれば、
・端末のみ盗難ならば起動できないし、内部にデータがそもそも存在しない。
・端末とカードキーを一緒に盗難された場合は、管理者から使用停止可能。
と今回のようなPC盗難・紛失に対してかなり対処できるはずです。ただし快適な動作にはそれなりの帯域を持つネットワーク環境が前提となりますので、ユーザが使いやすいか?と問われるとは悩むところですが。。。
契約遵守 (スコア:1)
近年ほとんどの自治体ではこのようなことが起きても
なにやってるんだ!!と言えるように、作業構築業者
には誓約書を書かせているはず。
問題はこの後。こういったプロジェクトには業者は
一社とは限らず複数絡んでいることが大半。これ
により、構築期間が短くなり 結果作業がはんざつに
なりやすい。
おそらくその流れでやっちまったんだろうと思う。
でシンクライアントだけど。一般的には客先のインフラ
もしくは構築インフラにはつなげてはいけないことが
多いいので、これは無理。(実際、H,F,Nの持ち出し端末は
シンクラになっているけど、客先インフラにはつなげないですよ)
Re:典型的な紛失例 (スコア:1, 興味深い)
セキュリティに限りませんが
「やっちゃダメと言われたことを本当にやらないでいるとダメ」
なのが現実です。
リスクを取らないと利益が出ず埋没するだけですから。
それがビジネスです。
セキュリティの話で言えば、守りましょう守りましょうと連呼するのは
表面上はよいのですが
実際は
「ブッチして問題起きなかった人が利益を得る、
ブッチして問題起こした人は罰ゲーム。
ブッチしないのは食われるのを待つ羊」
という見方が現実的です。
交通ルールを極端に守ったら周囲の迷惑、
ある程度ブッチして事故や違反につながらなかった人が勝ち、と同じですね。
Re:典型的な紛失例 (スコア:1)
できない・やらないタイプの人が、よくそういうことを言ってますよ。
Re:典型的な紛失例 (スコア:1)
> それがビジネスです。
詳しく。
具体的にどういう規則が、具体的にどういう場面で、破らざるを得なくなりますか?
たとえば今回なら、打ち合わせのために個人情報を持参する必要が生じるのは、
どういった場面ですか?そして、それを防ぐためにはどうすればいいですか?
それともう1点。
規則をそのまま守っていてはダメとして、じゃあ何を守ればいいですか?
客や将来の客に対する信用を維持し、
客に、この企業なら発注して個人情報を託しても構わないと思わせるには、
どうすればいいですか?
「私たちは規則を守りません」だけでは信用を保てないのは明らかです。
Re:典型的な紛失例 (スコア:1)
> 交通ルールを極端に守ったら周囲の迷惑、
> ある程度ブッチして事故や違反につながらなかった人が勝ち、と同じですね。
交通事故にしてもセキュリティ漏洩にしても、
罰ゲームがしゃれにならんわけですが。
金銭的な損失だけで済む場合と、済まない場合というのは、
リスクの計算の仕方を分けないといけないのかもしれません。
Re:典型的な紛失例 (スコア:1)
>出席した社員が独断でサーバーからノートパソコンにシステムと個人情報データをコピーして携行した。
会議に必要だったのでデータを持ち出したのか?
正直言えば、無論ダメなのはわかるがまだ理解はできる…ただ独断と言う部分が気にかかるが。
>打ち合わせ終了後社員は直帰したが
一番の問題はここだ。なにゆえ直帰したのか。そんな遠い場所での会議だったのか。
もしくは、時間外勤務が許されなかったのか。
…要はね、ダメとわかっていてもそうしないとまともな業務がこなせない、って体制を費用削減の名の下にやってたんじゃなかろうなと。
ええ、うちがそうです。氏ねって言いたい。
Re:典型的な紛失例 (スコア:5, 参考になる)
>なにゆえ直帰したのか。そんな遠い場所での会議だったのか。
「支社」は東京本社を兼ねる一ヶ所だけ [oec-solution.co.jp]のようですね。
地方は「支店」と「事務所」だけ、つまり支店が営業所で事務所は協力会社の名義貸しである可能性大。
そうでなくても土木コンサルでシステムやってる部署があちこちの支店に技術を置いてるとは思えない。
つまり技術スタッフは東京から岡山へ打合せに出ていた、ということでしょうね。
#同業かつ常態なのでAC
Re:典型的な紛失例 (スコア:1)
11/29に紛失して12/4に報告しているのも引っかかりますね。
世間様に「キッチリ対応している」と文書で公開している事業所であれば
紛失に認識したら即刻報告がルールでしょうね。たとえ同時に探していて、探していたらすぐ見つかっても。
3営業日、休日を含めても5日間というのは批判の種以外のなにものでも。たとえどんな申し開きがあるにしてもそれは間違ったルール、ルールは正しくても間違った解釈で行動していることだから。
Re:典型的な紛失例 (スコア:2)
置き忘れではないというのはどこで出てきた話でしょうか。
オリジナル設計の記者発表資料 [oec-solution.co.jp]には
と書いてあります。最初の地下鉄の路線が書かれていないのでわかりにくいですが、この文章が正しいなら、最初の地下鉄は東西線であり、九段下駅で半蔵門線に乗り換える際に PC を網棚に置き忘れたまま東西線の電車を降りてしまったということだと思います。
Re:典型的な紛失例 (スコア:2)
僕が疑問を呈しているのは、 #2286956 の「置き忘れしたのではなく」という部分に対してです。置き引きかどうかについては僕は何も言っていません。
Re:典型的な紛失例 (スコア:2)
過失か否かとか、誰が被害者だとか加害者だとか、そんな話は僕はまったく書いていないんだけど、なんでそれを僕のコメントへの返信として書くの? (´・ω・`)
Re:典型的な紛失例 (スコア:1)
網棚なんて怖くて使えないけどなあ。
持ち出しちゃいけないデータを無断で持ち出しているならなおさら。
緊張感なさすぎだし、リスク回避行動がまったくできてない。
Re:典型的な紛失例 (スコア:3, 参考になる)
>網棚なんて怖くて使えないけどなあ。
激しく同意。
貴重品を持ってる時は足下に置いて足で挟むのでさえ怖い。
ましてや網棚の上にポイッと放置すれば、盗られて当然とさえ思う。
Re:典型的な紛失例 (スコア:2)
個人的見解ですが、同意です。
そもそも携行する情報を取り扱うにあたって紛失・盗難を避けるためにカバン類をどう持ち運ぶべきなのかということを過去に失敗やらかした会社であれば自社の従業員だけでなく委託および請負業者に至るまで口うるさく取り決めているはずなので今までたまたまへましなかったのをいいことに無頓着な用心をしていた会社なのか、あるいは鈍感な会社なのかと勘ぐってしまいます。個人レベルでの失態とは別次元で。
「住民基本台帳データの一部」 (スコア:2, 参考になる)
「全市民約6万5千件の住民基本台帳データの一部」というが、
紛失した会社の報告書では下記の通り
>個人名(漢字、カナ)・性別・続柄・生年月日・住所・異動年月日
>個人コード・世帯コード・住民区分(日本人、外国人)
ほぼ全部じゃない?
紛失しなかったデータは何って聞きたくなるレベル
発注側の意識 (スコア:2)
過去にも督促状の送付ミスったとか、いろいろやらかしている自治体です
「よきにはからえ」の一言で済ませて具体的なモノは何も求めなかったのでは無いかと
打合せで業者が個人情報持ち込んだのにそれに市側が何も指摘してないのもおかしい。
Re:発注側の意識 (スコア:1)
> 打合せで業者が個人情報持ち込んだのにそれに市側が何も指摘してない
いや、発表資料などから分かるのは、「社員が独断でコピーして携行した」というところまでで、それを打ち合わせ資料として使ったかどうかはわからないでしょう。
「オ社に対しても独断で持ち出してる」ところからして、
「普段から社内で使用するノートPCにコピーしていた」「そのPCを、打ち合わせのため社外に持ち出した」(データそのものは打ち合わせには不要)「そしてそのPCを紛失した」って流れで、
打ち合わせでは使われなかった可能性が高いんじゃないですかね。
Re:発注側の意識 (スコア:2)
ちょっと外れるけど、素朴な疑問 (スコア:1)
全市民約6万5千人で水道使用者データが約5万6千件って
市民の約86%が世帯主?
Re:ちょっと外れるけど、素朴な疑問 (スコア:2)
水道利用者には法人も入っているのでは?
Re:ちょっと外れるけど、素朴な疑問 (スコア:1)
ああ、そうですね。スッキリしました。
Re:ちょっと外れるけど、素朴な疑問 (スコア:2)
Re:ちょっと外れるけど、素朴な疑問 (スコア:1)
社団法人 玉野法人会の会員数は456社(平成23年度末) [tamano-hojinkai.jp]…これでは少なすぎる
玉野市の概要(11)産業別事業所数及び従業者数の推移(ア)事業所数では2,851(平成21年次)…これでも少ない。
農家、漁業は違うと思うからあとは官公庁とか学校・幼稚園、宗教団体、その他法人契約の個人事業主とか?
Re:ちょっと外れるけど、素朴な疑問 (スコア:1)
玉野市発表の事業所数のリンクを貼り損なって失敬でした。下記の通りです:
http://www.city.tamano.okayama.jp/seisaku/outline/new/PDF/c0301-11.pdf... [okayama.jp]
Re:ちょっと外れるけど、素朴な疑問 (スコア:1)
田舎だと、上水は整備されてるけど下水は汲み取りなんて普通にあるわけで。
#はい、うちがそうです
Re:独断に追い込む (スコア:3)
オリジナル設計の発表によると
www.oec-solution.co.jp/pdf/2012/kisya_20121206.pdf
柔軟な判断で契約違反しちゃ駄目でしょう。
Re:独断に追い込む (スコア:1)
> 個人の規則違反に加えて、それ以外にも問題にすべき点があるなら、それを具体的に指摘してもらったほうが有益だと思います。
別ACだが思いつくまま挙げてみました。この会社がどうだったかはわかりません。
- 規則違反でどういう結果が起こるのか教育していたか
- 規則違反が常態化していなかったか監視をしていたか
- 例えば上司が規則違反を指示していたなど、規則違反をしていなければ本人にとって別の問題が発生するようなことはなかったか
- 規則を尊重するような企業風土はあったか、例えばサービス残業など会社自体が規則を破ってるような所ではなかったか
Re:独断に追い込む (スコア:1)
「柔軟な判断」と「独断」は別に排他ではない。
その社員が情報取り扱いの最終判断を下すような立場のお偉いさんならともかく、
そうでないなら上司に諮るとか持ち出し手続きを踏むとかせんとダメだろ。
#「良い考えがある」がホントに良い考えである場合は決して多くはないと思う
Re:独断に追い込む (スコア:1)
分析プリーズ。
オフトピ:当人の心情を慮るに (スコア:1)
結局打合せでデータの出番はあったんだろうか?
もしなかったら、当人の心情的な逃げ場は皆無ですね。
あったら、
・独断が奏効した
・コピーを知った会議の出席者が削除を指示しなかった
くらい考えられるかも(擁護してる訳ではありません)。
-- う~ん、バッドノウハウ?
Re: (スコア:0)
えっ?
Re:独断に追い込む (スコア:2)
では「どの位重い処分になるのか」というより「そもそも処分があるのかどうか」というレベルですね。
Re:独断に追い込む (スコア:2)
> オリジナル設計株式会社は「プライバシーマーク」の使用許諾を受けています。
Pマークとか、あんなん査察機関のおっさんが接待の甘い汁を啜るためだけに存在するような規格だしなぁ…
Re:おれはそんなへまはしないぜ (スコア:1)
>バカなやつだとか思ってらっしゃいますでしょうか
思ってます。
網棚に置く時点で、「なくさないように注意しよう」なんて全く思ってないだろ。