ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか

IT部門は再点検をhttp://itpro.nikkeibp.co.jp/atcl/ncd/14/457163/072900032/

１．デバイスの認識方法の違い

Ｗｉｎｄｏｗｓが認識するデバイスとして違いがある
ＵＳＢメモリはＵＳＢマスストレージとして認識される。
デジカメ、携帯音楽プレーヤー、スマートフォンはＷＰＤ（WindowsPortableDevice）として認識される。

ＵＳＢマスストレージ：ＰＣ側でファイル制御する。
ＷＰＤ：デバイス側でファイルを制御する。

一般的な企業ではＵＳＢメモリによる情報漏えい対策として、
デバイス制御ソフトを導入していることが多いが、
ＵＳＢマスストレージの制御だけで、ＷＰＤはこれまで制御の対象から外されることが多かった。

２．なぜベネッセ事件では情報漏洩したのか？
Ａｎｄｒｏｉｄは４．０からＷＰＤに対応している。
今回のベネッセの件も恐らくＵＳＢメモリでは制御されて持ち出せなかった情報を、
Ａｎｄｒｏｉｄのスマートフォンなら制御されずに持ち出せることに気づいて
行われたと考えられている。

３．デバイス制御の対策を見直そう。
デバイス制御ソフトの中ではＷＰＤへの対応が出来ているものが現時点では多いが、
対応した時期がバラバラなので、昔から入れているソフトで、設定はそのまま、
という場合は見直した方が良いと思う。

番外編：運用面から見たデバイス制御
ＷＰＤデバイスを制御すれば良いではないか、という単純なものではなく、
ＷＰＤデバイスの中にはデジカメが含まれる為、写真を業務で使う企業においては、
その制御が難しくなる。理想を言えば、デジカメを一台一台認識して、
使える、使えないをコントロールすれば良いですが、数や種類も多い中では
運用がとても大変になる、ということも考慮して制御する必要がある。

よくある制御方法としては、ＷＰＤデバイスは読み取りのみ。
書き込みをしたい場合は、申請して許可を得た場合のみ。という運用にしている。