山形県酒田市内中学校でUSBメモリ紛失、最も有効な対策は？

山形県酒田市内中学校で発生したUSBメモリ紛失事故

山形県酒田市の市内中学校で生徒の成績などの個人情報が記録されたUSBメモリが紛失する事故が6月2日に発表されました。USBメモリの紛失は5月29日に発覚し、5月30日と31日にかけて捜索しましたが、最後まで見つからなかったようです。^（※1）
このことを受け、酒田市ではUSBメモリの利用を停止して替わりにクラウドサービスの利用を検討しているとのことです。^（※2）

これまでに発生したUSBメモリの紛失、盗難

USBメモリの紛失による情報漏えい事故は、昨年の兵庫県尼崎市では全市民の46万人分の個人情報が含まれるUSBメモリを紛失し、大きくメディアに取り上げられました。
他にも東海大学教授がパリ近郊の空港でUSBメモリが入った鞄を置き引きに遭う事件^（※3）や昭和大学附属病院のUSB紛失事故^（※4）など、USBメモリの紛失や盗難による情報漏えいは多発します。
そのためUSBメモリを業務利用する組織には、USBメモリの利用台帳の運用や鍵のかかる棚への保管など、紛失や盗難への防止策が求められています。

USBメモリからクラウドサービスへの移行に潜むリスク

酒田市が検討する防止策は、USBメモリからクラウドサービスに移行による対策です。しかし、クラウドサービスの設定ミスによる情報漏えい事故もUSBメモリの紛失事故と同様に多発しています。

クラウドサービスの設定ミスの要因は、設定や構成の複雑化やクラウドサービス自身のアップデートなどがあります。
設定ミスによる情報漏えい事故として2020年～2021年にかけて発生したSalesforceの事例が大きく騒がれました。^（※5）2016年のSalesforceのアップデートで追加された機能によって、外部ユーザが内部データを参照可能となりました。外部ユーザのアクセス権変更は利用企業側に求められていましたが、未実施の企業が多く、最大で2000万件の情報が外部からアクセス可能な状態になっていました。このようにクラウドサービスへ代替えしたとしても情報漏えいのリスクは残り続ける点を注意しなければいけません。

またクラウドサービスの設定ミスに気付くまで時間が長くかかるため、ほとんどのケースで数か月～数年単位の長期間に渡り機密情報が外部から閲覧可能な状態になります。
先日のコラムで取り上げた5月12日発表のトヨタコネクティッド株式会社のクラウド設定ミスの事例では、2013年11月6日～2023年4月17日の約10年間に渡り、車両の識別子と位置情報と時刻が外部からアクセス可能な状態になっていました。^（※6）

最も有効な情報漏えい対策とは

USBメモリの盗難や紛失などによる情報漏えいへは、ファイルそのものを暗号化することによる対策が効果的です。USBメモリの盗難や紛失によってファイルが流出されたとしても、ファイルを暗号化していればファイル中の情報が読み取られることはなく、情報が漏えいすることはありません。

情報漏えいへ最も有効な対策は、情報そのものを守ることです。DataClasysはファイルそのものを暗号化することで、ファイルが外部に流出したとしてもファイル内の情報を守り続けることができます。

参考

※1 酒田市内中学校でUSBメモリ紛失、今後はクラウドの活用を検討 | ScanNetSecurity

※2 市内中学校におけるUSBメモリの紛失事案について（酒田市）

※3 本学教員所有のノートパソコンとUSBメモリの盗難被害について | お知らせ | 東海大学 – Tokai University

※4 患者様情報を含むUSBメモリ紛失に関するお詫びとご報告 | 昭和大学病院

※5 Salesforce の設定不備の問題はなぜ起きたのか？ ～ SHIFT SECURITY が 3 つの無償サービスを続ける理由 | ScanNetSecurity

※6 クラウドの設定ミスによる情報漏えいを防ぐ方法とは？漏えい事例やセキュリティガイドラインを紹介 [コラム]