【社会】流出HD、暗号化なし 神奈川県の行政文書データ
■ このスレッドは過去ログ倉庫に格納されています
神奈川県の行政文書を保存したハードディスク(HD)が廃棄処理を請け負った業者から流出した事件で、廃棄処理を委託したHDは不正閲覧を防ぐための暗号化がされていなかった。大量の個人情報を扱う自治体の管理の甘さが浮き彫りになったといえそうだ。
神奈川県によると、2014年に「富士通リース」(東京・千代田)とHDを含むサーバーのリース契約を結んだが、当時、大量の保存データを暗号化する装置はなかったという。
契約は今春に終了し、県は同社にサーバーを返却したが、同社の委託先のブロードリンク社から18個のHDが流出し、インターネットオークションに出品された。
県は返却前にデータを簡易消去していたが、落札した男性は市販ソフトでデータが復元できた。一方、パスワードを付けていたファイルは復元しても内容を見られなかったといい、さらに高度な暗号化などのセキュリティー対策を取っていれば、情報を全く閲覧できなかった可能性が高い。
県が新たに使用しているHDは暗号化しているという。〔共同〕
2019/12/7 10:34
https://www.nikkei.com/article/DGXMZO53076850X01C19A2CE0000/ 普通、個人情報を保存するストレージは、ディスク全体を暗号化するよ
さらにファイル単位で暗号化してもいいけど、ディスク全体が暗号化されているので
ディスクが再利用されたところでデータは読み出せない
神奈川県の公務員は個人情報を扱う基本的な知識がないみたいだな これ、情報処理安全確保支援士が管理者やってたら逮捕案件になるんだよね?
神奈川県も廃棄業者もアホすぎるよ ドライブ丸ごと暗号化はリスクもあるからな
トラブル時にデータをサルベージ出来なくなる可能性が出てくる
暗号化コンテナ作ってそこに大事なデータを保存するのが良い
当然キーファイルは別の媒体に保存しておく
この条件ならいざという時にその暗号化コンテナファイルをサルベージすりゃいいだけ
個人でもフリーな ChiperShed 使えば出来る 暗号化するとアクセス速度が低下する
文書類なら大した問題ではないが 暗号化措置実施後にデータが復旧できないこととが発生して
地方だと報告せずに闇に葬られるんやろうな
消えた年金みたいに >>9
今の時代の機器なら、ディスク暗号化の処理はHWが行うので、ディスク暗号化による
パフォーマンス低下なんて無視できるレベルになっているよ
ディスク暗号化で問題になるのは、クラッシュした時のリカバリーぐらいだな チョンが意図的に流出させたな!
さすが神奈川やることがエグいわwwwww >>3
素人はそう思うかもしれないが、普通、サーバーのHDDは暗号化しない。
廃棄する時は不可逆破壊するのが前提だし。 群馬の小渕さんちも不可逆破壊してるぐらいなのに県レベルで対応しないとは… 暗号化以前に、廃棄するHDDはツールで何回も0埋め処理しないとね
まぁそれ込みで廃棄依頼したつもりなんだろうけど、やっぱり外部業者なんて信頼しちゃだめだよね 金けちったのかね。バカじゃねwよくある話だと思うけど 中古で出回る機器の付属品なんて数年前に納品されたシステムのものということも想像できず今の段階で理想論ぶってる馬鹿ほど信用できないものはない
そもそも暗号化かける時に何が必要かとか考えたこともないんだろう
ませいぜい次回更改の時に入れましょうとかって話になるくらいだろうね。あと今設計してるところが滑り込みで入れるかどうかって感じ >一方、パスワードを付けていたファイルは復元しても内容を見られなかったといい
パスワードっちゅーか
細切れになって意味を失ったデータは、もう復元できないよ パスワードをかけてたってどうせzipじゃないの?
暗号化しました!→zip
馬鹿かと ウチも鯖のストレージはパフォーマンス低下を理由に暗号化してないな
そのかわり鯖管が不要なHDDを機械で破壊してる 神奈川なら仕方ない。何せ殺人も自殺で終了だからな。うちみたいな中小でも
ファイル全体を暗号化して復号化ソフトの入っていないPCからは見ても分から
んようにしているのに、カジノの誘致に忙しくて知恵が回らんのかねwww 記者会見を少し見ていたが古いのは暗号化が技術的に無理だった。今のは暗号化していると神奈川県側は言っていた HDDを落札した人は警察に言わずに朝日新聞に届けて
朝日新聞は警察に届けずに解析してメーカーに問い合わせと >>37
ここでいう暗号化ってのはTPM使った暗号化のことだよね
チップが載ってないと暗号化できないし後追いでかけようとするとしくじったらバッコリ障害だからなぁ >>16
いまはデータセンターでも個人情報を扱っているものはSEDとかで暗号化したものを使うけどね なんか物理破壊ボタンでもつけて押せばなかでグシャグシャになるHDDとかどうよ >>44
官庁系で個人情報あるシステムはデータセンター内でも一般企業とは物理的に切り離したゾーンに置くからな >>44
建屋内に置くサーバーは暗号化なんてせんよ ハードウエア暗号化の装置が普及し始めたのは2010年前半なのでそれ以前の中古品にはそんな選択肢は無かった。 >>52
病院に収めるシステムを担当しているけど、そもそも今の出荷品でもハードウェア暗号化なんてしてねぇからなぁ。
大学病院でもそんなもの。 >>50
>>51
データセンターのような建屋内の隔離された場所にあるサーバーでも、ストレージが着
脱されて隔離された場所から流出する可能性があるので、現在では、そのようなデータ
センターでも個人情報のようなセキュリティレベルが高いデータを置くサーバーのスト
レージにはSEDなどで暗号化されるようになって来ている
クラウドサーバーの契約時の選択項目にあるから >神奈川県データ流出 担当社員「データ知らなかった」
・確かにJCとホテルに宿泊したが未成年と知らなかったし指一本触れていない
・物体を所持したことは認めるが開封しなかったし何かは知らなかった
・自動車運転中に何かに当たった気はしたが人とは思わなかった 以前、某リースー会社に勤めてたが、警視庁にリースしてたノーパソ、
HDDの削除もやってたけど、出退勤時のIDチェックも指紋認証も金属探知もしなかったな。
とんでもなくザルだった。
今でもそうなんだろうな。
全く法整備されてないだろうし。 >>56
クラウドとオンプレ区別つけてから書き込もうな。 >>53
SEDの導入事例とかを見れば分かるけど、個人情報の取り扱いを厳しくしている組織は
サーバーのストレージを暗号化しているからね
その大学病院は、自分たちが取り扱っている個人情報がそれほどのセキュリティレベル
を要求するものと見積もって居ないだけなんだろう >>59
重要な個人情報を取り扱ったことがないだけなんだろ? >>56
お前は現代のサーバーはすべてデータセンターに集約されていると思っているのか? >>60
医療情報は非常に重要な個人情報なんだがね。
それでも、実際の現場にそんなシステムは普及していない。
それが分からんかね? >>62
某省の登録情報とそれに関連した住基ネットの情報提供サーバ管理してるけど。 >>64
>>65
民間企業の事業で流出事故を起こした場合は、次はSEDとかを導入することになるよ
そういうことをしないと再発防止策を説明できないし、賠償リスクがあるから
官公庁とかだったら、次は自分の手でHDDに穴を空けますとかいう言い訳で通るんだ
ろうけど >>1
でも神奈川県には責任無くね?
悪いのは管理してた富士通と廃棄業者だけだろ >>66
だから、個人情報を暗号化するというのは一般化されていないって言っているんだよ。
トラブルが起こったところから順に暗号化されていくにしても、ずっと先の話。
そもそも、トラブルが起こらない限りルールを変えない役所が暗号化を率先して要件に入れるわけがない。
企業側も無駄にコストが上がることを提案せんし。 >>67
ちゃんとしたところだと、産業廃棄用のマニフェストを要求して防止しているから、そういう意味では役所側のルール不備でもある。
とはいえ、今回はリースだから微妙だがね。
そもそも、サーバーにリースを使っては駄目だと思うんだ。 うちの会社はラップトップのドライブとUSBメモリはボリュームまるごと暗号化してるわ >>56
だから脱着されないようにラックの前どころか、部屋にすら入れないようにしてるんだよ
ハード側で対処してるってことね >>1
もうここまでやっちゃってるんだから、ナマポ受給者リストでもしれっと流しちゃえよ。 こういうのを入札条件に入れろ
自社で物理破壊や論理破壊、ホワイトデータ化しているかどうかの履歴や管理ができているかってのをさ >>67
データ消去までは神奈川県でやらないといかんだろう RAID5以上の分散書き込みのシステムにすべきではなかったのかなあ・・・ >>75
おそらく入札条件には入っていただろうし、書いてないところなんてほとんど見ないよ
受注側がやります、できましたといってウソついて書類出したんだろうね (´・ω・`)家のパソコンn捨てるときはどうしたらいいの? >>80
グートマン(Peter Gutmann)推奨方式
ディスク全体の領域に対して最初に乱数を4回、その後固定値を27回、最後に乱数を4回、合計35回の上書きを行います。1996年にピーターグートマンによって紹介された方式です。ソフトウェアでの復元および残留磁気を読み取る装置での復元は不可能になります。 >>81
(`・ω・´)有能!しかもフリーソフトでおkとか最高じゃない! >県は返却前にデータを簡易消去していた
こう考えているから、消去の依頼はしてないだろう 暗号化云々の前に「廃棄処理」を依頼したんだよな?
リユース、契約様式は知らんが、事業系廃棄だから
処分の契約書
マニフェスト
排出事業者責任
はどうなってるの? 公務員の脳みそがまじでヤバい
本当俺5chで何べんも言ってんだけどね、政令市の行政職に経験者採用で入社して
そこの部署に京都大学出たおっさんでピボットテーブル知らないやつがいたんだってば
ホント、そんなとこだかんね役所って 業者は、内容について確認していたかもしれない
県の担当者が、「消去済みです」と答えた場合は、
HDDの内容までは見ないと思う >>79
ちゃんとしたところだとエビデンス要求までする。
廃棄系は特にマニフェストに準じる必要があるし。 >>1
Λ,,,Λ
( ・ω・)今後はbitlocker使えるなら使えよ
Λ,,,Λ
( ・ω・)危機管理能力ゼロだな >>90
Λ,,,Λ
( ・ω・)また同じことを先に書かれた データ流出させた奴には窃盗罪を問えるだろうが
流出結果についてまで責任を負わせられるものなのか? >>94
Λ,,,Λ
( ・ω・)取引先やら重要度で違ってくるだろ
Λ,,,Λ
( ・ω・)裁判で判定されるよ この記事みると悪いのは行政だな
業者は再利用前提でリースしてたんだろ
データ消去する必要があったのは行政側 >>98
Λ,,,Λ
( ・ω・)ブロードリンク社は何する会社なの??? >>99
行政の立場でみると、リース品で消去は約束されてない
リース会社はブロードリンク社へ頼む必要もなかったはずだ
神奈川県によると、2014年に「富士通リース」(東京・千代田)とHDを含むサーバーのリース契約を結んだが、当時、大量の保存データを暗号化する装置はなかったという。
契約は今春に終了し、県は同社にサーバーを返却したが、同社の委託先のブロードリンク社から18個のHDが流出し、インターネットオークションに出品された。 ■ このスレッドは過去ログ倉庫に格納されています
