毎日新聞の22日の報道で、ちょっと怖いと思いました。
■毎日新聞 2009年12月23日 地方版
個人情報:またUSB紛失 都立2学校、生徒記録 使用禁止の私物 /東京
http://mainichi.jp/area/tokyo/news/20091223ddlk13040234000c.html今年秋の同庁の調査の際、個人情報管理に関する自己点検票に「私物USBは使っていない」と虚偽の記載をしていたという
というのは、「公務員」としての職務上問題だとは思いますが、それ以上に怖いのは、
・私物のUSBが自席の引き出しからなくなっていることに気づいた
・学校玄関近くの植え込みで、三つに分解されているUSBが見つかった
2件とも、内部犯行ではないかと考えられます。
セキュリティは、外部から攻撃されることを想定するのではなく、内部からの攻撃対策のほうがより重要だと思われます。でも、なんか怖い事件だなぁ。
まぁ、私物USBメモリ云々が前に出てくるのはソースの新聞がアレなだけですから仕方ありません。この新聞にセキュリティ的な観点なんてあるわけがないから、公務員を叩ければそれでいいのでしょう。他紙でこの事件に関する記事を見つけられてないので、事実関係もよく分かりませんけどね。引き出しから無くなっただけの方は、単にどっかに忘れてきただけかもしれないし。
管理が必要なレベルの情報が入った記録媒体の扱いはどんなガイドラインになっているかという肝心なところが記事になってないしなぁ。自席の引き出しって、施錠できないところに入れてたのかな? とか、USBメモリに入れる時に暗号化はしてたのかな? とかね。
ttp://www.metro.tokyo.jp/INET/OSHIRASE/2009/12/20jci400.htm
これも校内なんですよね。こっちは「公費で購入した認証機能付きUSBメモリー」だそうです。
最後に使った日のことがよくわかりませんね。「自席に戻した」と書いてあるのに、そのあとにわざわざ「通常は自席の施錠できる引き出しに戻すことになっている」と書いてある。自席には戻したけど、施錠できる引き出しには入れなかった? なくしちゃうくらいなんだから、ちゃんと覚えていないということなのかもしれませんが。
施錠できる引き出しに戻したけど、施錠していなかったのかもしれません。なんにせよ、勤務先から遠くない場所にしか移動していなかったようですね。身内を疑っちゃいけないけど、疑いを払拭できないような発表でした。
本人がどっかに忘れてきたというのが一番ありそうな話ですけどねぇ。USBメモリだと。なんかの作業の都合で、その辺の棚の上に置き忘れてしまったとか。
あれは「紛失することが珍しくないもの」という前提でセキュリティ手順を設計しないとダメじゃないのかなぁ……暗号化してあっても紛失したらダメということであれば、やはり使用禁止しかないでしょう。