流出HD、暗号化なし 神奈川県の行政文書データ
スポンサーリンク
流出HD、暗号化なし 神奈川県の行政文書データ
神奈川県の行政文書を保存したハードディスク(HD)が廃棄処理を請け負った業者から流出した事件で、廃棄処理を委託したHDは不正閲覧を防ぐための暗号化がされていなかった。大量の個人情報を扱う自治体の管理の甘さが浮き彫りになったといえそうだ。
神奈川県によると、2014年に「富士通リース」(東京・千代田)とHDを含むサーバーのリース契約を結んだが、当時、大量の保存データを暗号化する装置はなかったという。
契約は今春に終了し、県は同社にサーバーを返却したが、同社の委託先のブロードリンク社から18個のHDが流出し、インターネットオークションに出品された。
県は返却前にデータを簡易消去していたが、落札した男性は市販ソフトでデータが復元できた。一方、パスワードを付けていたファイルは復元しても内容を見られなかったといい、さらに高度な暗号化などのセキュリティー対策を取っていれば、情報を全く閲覧できなかった可能性が高い。
県が新たに使用しているHDは暗号化しているという。〔共同〕
2019/12/7 10:34
https://www.nikkei.com/article/DGXMZO53076850X01C19A2CE0000/
スポンサーリンク
ネットの反応
行政文書リース
普通、個人情報を保存するストレージは、ディスク全体を暗号化するよ
さらにファイル単位で暗号化してもいいけど、ディスク全体が暗号化されているので
ディスクが再利用されたところでデータは読み出せない
神奈川県の公務員は個人情報を扱う基本的な知識がないみたいだな
>>3
素人はそう思うかもしれないが、普通、サーバーのHDDは暗号化しない。
廃棄する時は不可逆破壊するのが前提だし。
>>16
いまはデータセンターでも個人情報を扱っているものはSEDとかで暗号化したものを使うけどね
>>44
官庁系で個人情報あるシステムはデータセンター内でも一般企業とは物理的に切り離したゾーンに置くからな
>>44
建屋内に置くサーバーは暗号化なんてせんよ
>>50
>>51
データセンターのような建屋内の隔離された場所にあるサーバーでも、ストレージが着
脱されて隔離された場所から流出する可能性があるので、現在では、そのようなデータ
センターでも個人情報のようなセキュリティレベルが高いデータを置くサーバーのスト
レージにはSEDなどで暗号化されるようになって来ている
クラウドサーバーの契約時の選択項目にあるから
>>56
お前は現代のサーバーはすべてデータセンターに集約されていると思っているのか?
企業担当者は頭抱えてるな
これ、情報処理安全確保支援士が管理者やってたら逮捕案件になるんだよね?
神奈川県も廃棄業者もアホすぎるよ
ドライブ丸ごと暗号化はリスクもあるからな
トラブル時にデータをサルベージ出来なくなる可能性が出てくる
暗号化コンテナ作ってそこに大事なデータを保存するのが良い
当然キーファイルは別の媒体に保存しておく
この条件ならいざという時にその暗号化コンテナファイルをサルベージすりゃいいだけ
個人でもフリーな ChiperShed 使えば出来る
暗号化するとアクセス速度が低下する
文書類なら大した問題ではないが
>>9
今の時代の機器なら、ディスク暗号化の処理はHWが行うので、ディスク暗号化による
パフォーマンス低下なんて無視できるレベルになっているよ
ディスク暗号化で問題になるのは、クラッシュした時のリカバリーぐらいだな
暗号化措置実施後にデータが復旧できないこととが発生して
地方だと報告せずに闇に葬られるんやろうな
消えた年金みたいに
神奈川県にセキュリティ意識なんぞあるわけない
群馬の小渕さんちも不可逆破壊してるぐらいなのに県レベルで対応しないとは…
>>17
一応やけど群馬の総理大臣やったらしいで
中古で出回る機器の付属品なんて数年前に納品されたシステムのものということも想像できず今の段階で理想論ぶってる馬鹿ほど信用できないものはない
そもそも暗号化かける時に何が必要かとか考えたこともないんだろう
ませいぜい次回更改の時に入れましょうとかって話になるくらいだろうね。あと今設計してるところが滑り込みで入れるかどうかって感じ
ウチも鯖のストレージはパフォーマンス低下を理由に暗号化してないな
そのかわり鯖管が不要なHDDを機械で破壊してる
記者会見を少し見ていたが古いのは暗号化が技術的に無理だった。今のは暗号化していると神奈川県側は言っていた
>>37
ここでいう暗号化ってのはTPM使った暗号化のことだよね
チップが載ってないと暗号化できないし後追いでかけようとするとしくじったらバッコリ障害だからなぁ
HDDを落札した人は警察に言わずに朝日新聞に届けて
朝日新聞は警察に届けずに解析してメーカーに問い合わせと
ハードウエア暗号化の装置が普及し始めたのは2010年前半なのでそれ以前の中古品にはそんな選択肢は無かった。
>>52
病院に収めるシステムを担当しているけど、そもそも今の出荷品でもハードウェア暗号化なんてしてねぇからなぁ。
大学病院でもそんなもの。
>>53
SEDの導入事例とかを見れば分かるけど、個人情報の取り扱いを厳しくしている組織は
サーバーのストレージを暗号化しているからね
その大学病院は、自分たちが取り扱っている個人情報がそれほどのセキュリティレベル
を要求するものと見積もって居ないだけなんだろう
>>60
医療情報は非常に重要な個人情報なんだがね。
それでも、実際の現場にそんなシステムは普及していない。
それが分からんかね?
>>64
>>65
民間企業の事業で流出事故を起こした場合は、次はSEDとかを導入することになるよ
そういうことをしないと再発防止策を説明できないし、賠償リスクがあるから
官公庁とかだったら、次は自分の手でHDDに穴を空けますとかいう言い訳で通るんだ
ろうけど
>>66
だから、個人情報を暗号化するというのは一般化されていないって言っているんだよ。
トラブルが起こったところから順に暗号化されていくにしても、ずっと先の話。
そもそも、トラブルが起こらない限りルールを変えない役所が暗号化を率先して要件に入れるわけがない。
企業側も無駄にコストが上がることを提案せんし。
以前、某リースー会社に勤めてたが、警視庁にリースしてたノーパソ、
HDDの削除もやってたけど、出退勤時のIDチェックも指紋認証も金属探知もしなかったな。
とんでもなくザルだった。
今でもそうなんだろうな。
全く法整備されてないだろうし。
うちの会社はラップトップのドライブとUSBメモリはボリュームまるごと暗号化してるわ
こういうのを入札条件に入れろ
自社で物理破壊や論理破壊、ホワイトデータ化しているかどうかの履歴や管理ができているかってのをさ
>>75
おそらく入札条件には入っていただろうし、書いてないところなんてほとんど見ないよ
受注側がやります、できましたといってウソついて書類出したんだろうね
>>79
ちゃんとしたところだとエビデンス要求までする。
廃棄系は特にマニフェストに準じる必要があるし。
>>89
真面目にやるなら役所側の人間を破壊する現場に立ち会わせろってとこまでやるかと
そこまですれば、すり替え用のディスクが必要になるから転売目当ての奴は排除できる
(´・ω・`)家のパソコンn捨てるときはどうしたらいいの?
>>80
グートマン(Peter Gutmann)推奨方式
ディスク全体の領域に対して最初に乱数を4回、その後固定値を27回、最後に乱数を4回、合計35回の上書きを行います。1996年にピーターグートマンによって紹介された方式です。ソフトウェアでの復元および残留磁気を読み取る装置での復元は不可能になります。
富士通リースとブロードリンク社の間では消去の契約が結ばれてたのかもしれないが
行政側からすればそれは把握できないこと
行政で消去しなければ流出の危険はもとからあったこと
調べると富士通リースは廃棄で発注してたみたいだが
それは行政側が廃棄の契約を結んでいたかとは別であって
今回、たまたま廃棄に回っただけかもしれない
リースならば再利用もありだろ
少子化の原因、Fラン大学のせいだった
歴史上最も世界統一に近いとこまでいった人物ランキング1位って
勇者「勇者パーティーの独立を決心した」
【朗報】波瑠さん、可愛すぎるwwwww(※画像あり)
なんJ、恵方巻対策本部
お前らが人生で後悔していること上げていけ
スポンサーリンク