個人情報漏洩(NTTデータのシステム) [PC インターネット]
スポンサーリンク
ベネッセ。大変ですね。
システムを作ったのが国策企業というのも苦笑いが止まらないです。
今までの不祥事を考えますと、NTTデータはセキュリティやコンプライアンスに関してはダメダメですね。
ベネッセはセンシティブな情報ではないと言ったらしいですが…
クレジットカード情報なら、止めてしまえばいいだけ。
ですが子供の情報となると、大人になるまでついてまわる情報で、これがセンシティブ情報でないといえるのでしょうか。
犯人は情報を管理していたSEがUSBメモリではなく、スマホに情報をコピーしたようですが。
僕が所有するAndroidのGalaxy S3をUSB端子に挿すとSAMSUNG Mobile USB Composite Deviceとして認識されました。
さらに、8GbyteのUSBメモリを挿すとUSB 大容量記憶装置として認識されました。
このベネッセのシステムではUSB 大容量記憶装置のみしかチェックしていなかったとしたらお粗末です。
さて
僕の経験。
すごく前にシンクライアント端末を使った経験があります。Pentium4、メモリ2Gととてもチープ。
そのシンクライアント端末はiSCSIを搭載しており、ネットブート型と呼ばれるやつです。
サーバにOSイメージ(Cドライブ)をおいておきます。端末起動時にPXEという機能を用いて、ネットワーク経由でOSをブートする方式です。
OSやアプリケーションの処理は端末側で行うものです。
端末から見ると、Cドライブはあるのですが、それは端末内にあるストレージではなく、サーバにあるディスクイメージなのです。
可搬記憶媒体は全て利用禁止になって、フロッピーディスクドライブは搭載されていません。
光学ドライブも書き込みできないやつです。
光学ドライブを書き込み可能型に取り替えたらどうなるのか…。
USB端子はありまして、マウスは使えますがUSBメモリの利用はできないようにバックグラウンドでUSBメモリ利用の禁止のためのプロセスが走っています。
さて、ここからがダメダメポイントです。
たまたま使ったシンクライアント端末。なんとハードディスクが搭載されたままだったのです。
シンクライアント端末配布前にハードディスク抜き取るの忘れたのかな。
サーバにあるディスクイメージはCドライブ。そして、内蔵ハードディスクはDドライブでした。
ということは情報をハードディスクにコピーして持ち帰ることができるんじゃね?
PCのディスクイメージを探検してたら見つけたザルでして、すぐに担当者を呼びハードディスクを撤去してもらいました。
変な疑いをかけられるのもイヤでしたから。
iPhone 3Gに変更した時など、変な社員に難癖付けられ咎められましたけどね。
でも。
でもです。
もし、自分がハードディスクを持ってきて接続したら同じじゃね?
情報を漏洩したところで逮捕されクビになるのは当然です。
そのような事件が起きる前に対策が行われないとね。
担当者に伝えましたが、対策は行われませんでした。
今じゃ既にそのシンクライアント端末もチープなスペックなので使っていないと思います。
他の対策が行われているもしれないです。
スポンサーリンク
ベネッセ。大変ですね。
システムを作ったのが国策企業というのも苦笑いが止まらないです。
今までの不祥事を考えますと、NTTデータはセキュリティやコンプライアンスに関してはダメダメですね。
ベネッセはセンシティブな情報ではないと言ったらしいですが…
クレジットカード情報なら、止めてしまえばいいだけ。
ですが子供の情報となると、大人になるまでついてまわる情報で、これがセンシティブ情報でないといえるのでしょうか。
犯人は情報を管理していたSEがUSBメモリではなく、スマホに情報をコピーしたようですが。
僕が所有するAndroidのGalaxy S3をUSB端子に挿すとSAMSUNG Mobile USB Composite Deviceとして認識されました。
さらに、8GbyteのUSBメモリを挿すとUSB 大容量記憶装置として認識されました。
このベネッセのシステムではUSB 大容量記憶装置のみしかチェックしていなかったとしたらお粗末です。
さて
僕の経験。
すごく前にシンクライアント端末を使った経験があります。Pentium4、メモリ2Gととてもチープ。
そのシンクライアント端末はiSCSIを搭載しており、ネットブート型と呼ばれるやつです。
サーバにOSイメージ(Cドライブ)をおいておきます。端末起動時にPXEという機能を用いて、ネットワーク経由でOSをブートする方式です。
OSやアプリケーションの処理は端末側で行うものです。
端末から見ると、Cドライブはあるのですが、それは端末内にあるストレージではなく、サーバにあるディスクイメージなのです。
可搬記憶媒体は全て利用禁止になって、フロッピーディスクドライブは搭載されていません。
光学ドライブも書き込みできないやつです。
光学ドライブを書き込み可能型に取り替えたらどうなるのか…。
USB端子はありまして、マウスは使えますがUSBメモリの利用はできないようにバックグラウンドでUSBメモリ利用の禁止のためのプロセスが走っています。
さて、ここからがダメダメポイントです。
たまたま使ったシンクライアント端末。なんとハードディスクが搭載されたままだったのです。
シンクライアント端末配布前にハードディスク抜き取るの忘れたのかな。
サーバにあるディスクイメージはCドライブ。そして、内蔵ハードディスクはDドライブでした。
ということは情報をハードディスクにコピーして持ち帰ることができるんじゃね?
PCのディスクイメージを探検してたら見つけたザルでして、すぐに担当者を呼びハードディスクを撤去してもらいました。
変な疑いをかけられるのもイヤでしたから。
iPhone 3Gに変更した時など、変な社員に難癖付けられ咎められましたけどね。
でも。
でもです。
もし、自分がハードディスクを持ってきて接続したら同じじゃね?
情報を漏洩したところで逮捕されクビになるのは当然です。
そのような事件が起きる前に対策が行われないとね。
担当者に伝えましたが、対策は行われませんでした。
今じゃ既にそのシンクライアント端末もチープなスペックなので使っていないと思います。
他の対策が行われているもしれないです。
スポンサーリンク
2014-07-19 14:26
nice!(0)
コメント(0)
トラックバック(0)
コメント 0