RSSおすすめ記事です

スポンサーリンク

流出HD、暗号化なし 神奈川県の行政文書データ

ニュースセキュリティ

スポンサーリンク

流出HD、暗号化なし 神奈川県の行政文書データ

1 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:06:02 ID:CAP_USER.net

神奈川県の行政文書を保存したハードディスク(HD)が廃棄処理を請け負った業者から流出した事件で、廃棄処理を委託したHDは不正閲覧を防ぐための暗号化がされていなかった。大量の個人情報を扱う自治体の管理の甘さが浮き彫りになったといえそうだ。

神奈川県によると、2014年に「富士通リース」(東京・千代田)とHDを含むサーバーのリース契約を結んだが、当時、大量の保存データを暗号化する装置はなかったという。

契約は今春に終了し、県は同社にサーバーを返却したが、同社の委託先のブロードリンク社から18個のHDが流出し、インターネットオークションに出品された。

県は返却前にデータを簡易消去していたが、落札した男性は市販ソフトでデータが復元できた。一方、パスワードを付けていたファイルは復元しても内容を見られなかったといい、さらに高度な暗号化などのセキュリティー対策を取っていれば、情報を全く閲覧できなかった可能性が高い。

県が新たに使用しているHDは暗号化しているという。〔共同〕
2019/12/7 10:34
https://www.nikkei.com/article/DGXMZO53076850X01C19A2CE0000/


スポンサーリンク

ネットの反応

2 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:11:14.46 ID:2r00XzM2.net
Left Caption

行政文書リース

3 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:11:23.99 ID:+rolOMnv.net
Left Caption

普通、個人情報を保存するストレージは、ディスク全体を暗号化するよ
さらにファイル単位で暗号化してもいいけど、ディスク全体が暗号化されているので
ディスクが再利用されたところでデータは読み出せない
神奈川県の公務員は個人情報を扱う基本的な知識がないみたいだな

16 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:39:27.01 ID:c2ANGnXz.net
Left Caption

>>3
素人はそう思うかもしれないが、普通、サーバーのHDDは暗号化しない。
廃棄する時は不可逆破壊するのが前提だし。

44 : 名無しのシステムエンジニアさん 2019/12/07(土) 14:49:28 ID:+rolOMnv.net
Left Caption

>>16
いまはデータセンターでも個人情報を扱っているものはSEDとかで暗号化したものを使うけどね

50 : 名無しのシステムエンジニアさん 2019/12/07(土) 15:39:16 ID:yR4VHtIN.net
Left Caption

>>44
官庁系で個人情報あるシステムはデータセンター内でも一般企業とは物理的に切り離したゾーンに置くからな

51 : 名無しのシステムエンジニアさん 2019/12/07(土) 15:44:08 ID:qTWpXvG4.net
Left Caption

>>44
建屋内に置くサーバーは暗号化なんてせんよ

56 : 名無しのシステムエンジニアさん 2019/12/07(土) 16:08:03.09 ID:+rolOMnv.net
Left Caption

>>50
>>51
データセンターのような建屋内の隔離された場所にあるサーバーでも、ストレージが着
脱されて隔離された場所から流出する可能性があるので、現在では、そのようなデータ
センターでも個人情報のようなセキュリティレベルが高いデータを置くサーバーのスト
レージにはSEDなどで暗号化されるようになって来ている
クラウドサーバーの契約時の選択項目にあるから

63 : 名無しのシステムエンジニアさん 2019/12/07(土) 16:12:35 ID:qTWpXvG4.net
Left Caption

>>56
お前は現代のサーバーはすべてデータセンターに集約されていると思っているのか?

4 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:12:10.40 ID:efrat457.net
Left Caption

企業担当者は頭抱えてるな

6 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:17:43.88 ID:C53s0hxZ.net
Left Caption

これ、情報処理安全確保支援士が管理者やってたら逮捕案件になるんだよね?
神奈川県も廃棄業者もアホすぎるよ

7 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:21:17 ID:h5SEsFEx.net
Left Caption

ドライブ丸ごと暗号化はリスクもあるからな
トラブル時にデータをサルベージ出来なくなる可能性が出てくる

暗号化コンテナ作ってそこに大事なデータを保存するのが良い
当然キーファイルは別の媒体に保存しておく

この条件ならいざという時にその暗号化コンテナファイルをサルベージすりゃいいだけ

個人でもフリーな ChiperShed 使えば出来る

9 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:22:39 ID:ttl9uMWJ.net
Left Caption

暗号化するとアクセス速度が低下する
文書類なら大した問題ではないが

12 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:26:19 ID:+rolOMnv.net
Left Caption

>>9
今の時代の機器なら、ディスク暗号化の処理はHWが行うので、ディスク暗号化による
パフォーマンス低下なんて無視できるレベルになっているよ
ディスク暗号化で問題になるのは、クラッシュした時のリカバリーぐらいだな

11 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:25:39 ID:EjcYI9wc.net
Left Caption

暗号化措置実施後にデータが復旧できないこととが発生して
地方だと報告せずに闇に葬られるんやろうな
消えた年金みたいに

15 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:36:37.94 ID:ZvhIl2/o.net
Left Caption

神奈川県にセキュリティ意識なんぞあるわけない

17 : 名無しのシステムエンジニアさん 2019/12/07(土) 13:43:32.27 ID:pJcuWLCR.net
Left Caption

群馬の小渕さんちも不可逆破壊してるぐらいなのに県レベルで対応しないとは…

29 : 名無しのシステムエンジニアさん 2019/12/07(土) 14:11:28 ID:a9LTznAT.net
Left Caption

>>17
一応やけど群馬の総理大臣やったらしいで

30 : 名無しのシステムエンジニアさん 2019/12/07(土) 14:16:24 ID:XVwmIHtu.net
Left Caption

中古で出回る機器の付属品なんて数年前に納品されたシステムのものということも想像できず今の段階で理想論ぶってる馬鹿ほど信用できないものはない
そもそも暗号化かける時に何が必要かとか考えたこともないんだろう
ませいぜい次回更改の時に入れましょうとかって話になるくらいだろうね。あと今設計してるところが滑り込みで入れるかどうかって感じ

34 : 名無しのシステムエンジニアさん 2019/12/07(土) 14:25:11 ID:FEJ4lICJ.net
Left Caption

ウチも鯖のストレージはパフォーマンス低下を理由に暗号化してないな
そのかわり鯖管が不要なHDDを機械で破壊してる

37 : 名無しのシステムエンジニアさん 2019/12/07(土) 14:32:38 ID:2iVHRsBc.net
Left Caption

記者会見を少し見ていたが古いのは暗号化が技術的に無理だった。今のは暗号化していると神奈川県側は言っていた

39 : 名無しのシステムエンジニアさん 2019/12/07(土) 14:45:03 ID:XVwmIHtu.net
Left Caption

>>37
ここでいう暗号化ってのはTPM使った暗号化のことだよね
チップが載ってないと暗号化できないし後追いでかけようとするとしくじったらバッコリ障害だからなぁ

38 : 名無しのシステムエンジニアさん 2019/12/07(土) 14:35:37 ID:IExxbUsd.net
Left Caption

HDDを落札した人は警察に言わずに朝日新聞に届けて
朝日新聞は警察に届けずに解析してメーカーに問い合わせと

52 : 名無しのシステムエンジニアさん 2019/12/07(土) 15:58:41.18 ID:gtF2p7BD.net
Left Caption

ハードウエア暗号化の装置が普及し始めたのは2010年前半なのでそれ以前の中古品にはそんな選択肢は無かった。

53 : 名無しのシステムエンジニアさん 2019/12/07(土) 15:59:59.82 ID:qTWpXvG4.net
Left Caption

>>52
病院に収めるシステムを担当しているけど、そもそも今の出荷品でもハードウェア暗号化なんてしてねぇからなぁ。
大学病院でもそんなもの。

60 : 名無しのシステムエンジニアさん 2019/12/07(土) 16:11:20 ID:+rolOMnv.net
Left Caption

>>53
SEDの導入事例とかを見れば分かるけど、個人情報の取り扱いを厳しくしている組織は
サーバーのストレージを暗号化しているからね
その大学病院は、自分たちが取り扱っている個人情報がそれほどのセキュリティレベル
を要求するものと見積もって居ないだけなんだろう

64 : 名無しのシステムエンジニアさん 2019/12/07(土) 16:13:38 ID:qTWpXvG4.net
Left Caption

>>60
医療情報は非常に重要な個人情報なんだがね。
それでも、実際の現場にそんなシステムは普及していない。

それが分からんかね?

66 : 名無しのシステムエンジニアさん 2019/12/07(土) 16:34:05 ID:+rolOMnv.net
Left Caption

>>64
>>65
民間企業の事業で流出事故を起こした場合は、次はSEDとかを導入することになるよ
そういうことをしないと再発防止策を説明できないし、賠償リスクがあるから
官公庁とかだったら、次は自分の手でHDDに穴を空けますとかいう言い訳で通るんだ
ろうけど

69 : 名無しのシステムエンジニアさん 2019/12/07(土) 16:44:53 ID:qTWpXvG4.net
Left Caption

>>66
だから、個人情報を暗号化するというのは一般化されていないって言っているんだよ。
トラブルが起こったところから順に暗号化されていくにしても、ずっと先の話。

そもそも、トラブルが起こらない限りルールを変えない役所が暗号化を率先して要件に入れるわけがない。
企業側も無駄にコストが上がることを提案せんし。

58 : 名無しのシステムエンジニアさん 2019/12/07(土) 16:10:23 ID:GMdsPKaJ.net
Left Caption

以前、某リースー会社に勤めてたが、警視庁にリースしてたノーパソ、
HDDの削除もやってたけど、出退勤時のIDチェックも指紋認証も金属探知もしなかったな。
とんでもなくザルだった。
今でもそうなんだろうな。
全く法整備されてないだろうし。

71 : 名無しのシステムエンジニアさん 2019/12/07(土) 17:16:26 ID:+9YYadkl.net
Left Caption

うちの会社はラップトップのドライブとUSBメモリはボリュームまるごと暗号化してるわ

75 : 名無しのシステムエンジニアさん 2019/12/07(土) 17:25:12 ID:hoznBIuG.net
Left Caption

こういうのを入札条件に入れろ
自社で物理破壊や論理破壊、ホワイトデータ化しているかどうかの履歴や管理ができているかってのをさ

79 : 名無しのシステムエンジニアさん 2019/12/07(土) 17:30:10 ID:yR4VHtIN.net
Left Caption

>>75
おそらく入札条件には入っていただろうし、書いてないところなんてほとんど見ないよ
受注側がやります、できましたといってウソついて書類出したんだろうね

89 : 名無しのシステムエンジニアさん 2019/12/07(土) 18:41:17.47 ID:qTWpXvG4.net
Left Caption

>>79
ちゃんとしたところだとエビデンス要求までする。
廃棄系は特にマニフェストに準じる必要があるし。

106 : 名無しのシステムエンジニアさん 2019/12/07(土) 20:58:14.79 ID:zTeLsoAE.net
Left Caption

>>89
真面目にやるなら役所側の人間を破壊する現場に立ち会わせろってとこまでやるかと
そこまですれば、すり替え用のディスクが必要になるから転売目当ての奴は排除できる

80 : 名無しのシステムエンジニアさん 2019/12/07(土) 17:41:13 ID:RjiI0SSk.net
Left Caption

(´・ω・`)家のパソコンn捨てるときはどうしたらいいの?

81 : 名無しのシステムエンジニアさん 2019/12/07(土) 17:51:12 ID:pJcuWLCR.net
Left Caption

>>80
グートマン(Peter Gutmann)推奨方式
ディスク全体の領域に対して最初に乱数を4回、その後固定値を27回、最後に乱数を4回、合計35回の上書きを行います。1996年にピーターグートマンによって紹介された方式です。ソフトウェアでの復元および残留磁気を読み取る装置での復元は不可能になります。

101 : 名無しのシステムエンジニアさん 2019/12/07(土) 20:33:27 ID:tS2SACwq.net
Left Caption

富士通リースとブロードリンク社の間では消去の契約が結ばれてたのかもしれないが
行政側からすればそれは把握できないこと
行政で消去しなければ流出の危険はもとからあったこと

105 : 名無しのシステムエンジニアさん 2019/12/07(土) 20:52:24.68 ID:tS2SACwq.net
Left Caption

調べると富士通リースは廃棄で発注してたみたいだが
それは行政側が廃棄の契約を結んでいたかとは別であって
今回、たまたま廃棄に回っただけかもしれない
リースならば再利用もありだろ

Posted by flac