スポンサーリンク
2018年から2019年にかけてお客様の廃棄ストレージを勝手に横流しして
世間を震撼した犯罪の裁判に判決が出た。
最近は大きな事件が多くて過去の事件をすぐ忘れてしまう。
判決のニュースがあって、ああ、あれかと思いだした。
概要はこうだった。
神奈川県庁などが利用するサーバのHDDが故障すると、データ消去、破棄を契約している会社が出動して
作業をしていた。回収したHDDは契約上は物理的に壊して破棄するものと思われるが、
請け負っている会社の社員が廃棄前に会社から持ち帰り、ヤフオクなどで販売していたというもの。
ここでは判決内容など細かいことは書かない。この事件から読み取れることについて考える。
HDDはRAID構成にもよるが、そのまま記録されているデータを読み込める場合があり、
県庁の機密データが載ったまま流出してしまったという、重大なセキュリティ犯罪だった。
実際に機密データが読まれて悪用されたという話は聞いていないが、この事件から得られる教訓は多い。
ストレージを載せたサーバの置き場所のセキュリティポリシーによるが、
例えばセキュリティの厳しいデータセンタにあれば、こういう具合にチェックされる。
今回の事件ではデータセンタなど設置場所についてはルールを守られていたが、持ち出された後がまずかった。
データセンタを出てしまえば、データセンタの責任ではないのでそこまではルールにない。
あくまでもデータ消去、廃棄を行う会社の責任になる。
したがって消去、廃棄業者も同様のセキュリティを設けないと、そこから流出してしまうってことだ。
被害にあった同社のHPを見ると、涙ぐましい努力がうかがえる。
ざっと見たところ、これだけやっていれば通常の(行き当たりばったりの)持ち出しはほぼ防げるだろう。
用意周到に計画したものまでカバーできるかは分からないが、少なくとも社員に持ち出して
転売するという魔が差すような気持にさせない抑止力があると思う。
結果的に同社はデータセンター並みの物品管理と廃棄時の物品の特定ができるような紐づけ、
そして写真撮影をして保管するエビデンスの保存をすることで、顧客の信用を再度得ようとしている。
4月になって指名停止処分がとけ、ISMS認証も再開されたとHPに書かれている。
同社が倒産しかねないくらいの信用問題になったと思われる本事件。これを見て真似しようという
輩が出てこないことを祈るばかり。
データ消去やストレージの物理破壊を行ってくれる業者がいないと、機密データやプライバシを守ったIT業務を
遂行することは難しい。この問題の根本原因が何だったのかを改めて考えて、
IT業界全体で再発防止を考えてほしいものだ。
PR
