ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか


【中小企業診断士 IT研究会の「PIT」が本ブログは提供しています】

ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか

IT部門は再点検をhttp://itpro.nikkeibp.co.jp/atcl/ncd/14/457163/072900032/

1.デバイスの認識方法の違い

Windowsが認識するデバイスとして違いがある
USBメモリはUSBマスストレージとして認識される。
デジカメ、携帯音楽プレーヤー、スマートフォンはWPD(WindowsPortableDevice)として認識される。

USBマスストレージ:PC側でファイル制御する。
WPD:デバイス側でファイルを制御する。

一般的な企業ではUSBメモリによる情報漏えい対策として、
デバイス制御ソフトを導入していることが多いが、
USBマスストレージの制御だけで、WPDはこれまで制御の対象から外されることが多かった。

2.なぜベネッセ事件では情報漏洩したのか?
Androidは4.0からWPDに対応している。
今回のベネッセの件も恐らくUSBメモリでは制御されて持ち出せなかった情報を、
Androidのスマートフォンなら制御されずに持ち出せることに気づいて
行われたと考えられている。

3.デバイス制御の対策を見直そう。
デバイス制御ソフトの中ではWPDへの対応が出来ているものが現時点では多いが、
対応した時期がバラバラなので、昔から入れているソフトで、設定はそのまま、
という場合は見直した方が良いと思う。

番外編:運用面から見たデバイス制御
WPDデバイスを制御すれば良いではないか、という単純なものではなく、
WPDデバイスの中にはデジカメが含まれる為、写真を業務で使う企業においては、
その制御が難しくなる。理想を言えば、デジカメを一台一台認識して、
使える、使えないをコントロールすれば良いですが、数や種類も多い中では
運用がとても大変になる、ということも考慮して制御する必要がある。

よくある制御方法としては、WPDデバイスは読み取りのみ。
書き込みをしたい場合は、申請して許可を得た場合のみ。という運用にしている。

 

 

(Visited 113 times, 1 visits today)

関連記事

PITとは

実践IT研究会の略称です。
Practical Infomation Technology

中小企業診断士の研究会で、
診断士のIT力アップと、
中小企業のIT化支援の手法を
研究しています。
ページ上部へ戻る