転換期を迎える顧客情報バックアップテープの取り扱い(2)人為ミス、そして高まるバックアップテープ暗号化の声 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.21(木)

転換期を迎える顧客情報バックアップテープの取り扱い(2)人為ミス、そして高まるバックアップテープ暗号化の声

特集 特集

●大金を投資しても使用しなければ無用の長物

UPSは世界最大のクーリエ会社だ。その評判にふさわしいよう、設備投資にも力を入れている。例えば、UPSでは10億ドル以上を毎年ドライバーのワイヤレス携帯端末やスマートラベルなどに投資している。しかし、これらの投資も結局は人為ミスを防げなかったということになる。CitiFinancialの事故では折角、投資して整備した技術を使用しなかった。個人情報漏洩事件で、ハッカーなどのハイテク犯罪ももちろんだが、何よりも危ないのは人為ミスだという専門家もいる。今回はそれを証明したようなかたちだ。スタッフ訓練などでセキュリティ手順の確認の必要性が求められている。

UPSでは荷物を集荷して届けるまでは通常、数ヵ所でスキャンを行い、トレースできるようにしている。集荷した時点、仕分け施設、空港、飛行機などだ。これにより、どの地点で紛失したのか、割り出せるようになっている。今回の事件のように、集荷時点で、1個1個の荷物をスキャンし忘れると、「建物を本当に出たのかもわからない」というわけだ(UPSテクノロジー広報担当)。UPSでは米国のネットワーク全体で広範囲に調査を行ったというが、現時点でも見つかっていない。

このような紛失事故はどれくらいあるのか。1日あたり1410万個の荷物を扱うUPSは紛失について、詳しい数字は明らかにしていない。しかし、出荷の際に宛先ラベルなどが損傷して、荷物の送付先がわからなくなることもあると、事故が実際に起きることは認めている。

しかし、今回はスキャン処理を怠った他に、CitigroupがUPSに求めている規則で守られなかったことに”exception notice”がある。これは、荷物が送付先に到着しなかった場合に通知を行うというものだ。CitiFinancialでは6日以内に到着しない場合と明確に期限まで指定しているにも関わらず、その連絡を行わなかった。事故はExperian側が、定期的な検査を行っていて判明した。

●相次ぐバックアップテープ紛失事故

今年に入って2月には、バンク・オブ・アメリカが、また5月にタイム・ワーナー社が極秘情報の入ったバックアップテープを紛失した。さらに7月にも、City National Bankで同様の事件があった。

City National Bankはロサンゼルスのビバリーヒルズに本社を持つ、カリフォルニア州では最大の金融機関のひとつだ。「ハイエンド」な顧客、つまり比較的富裕層や有名人を顧客とする金融機関で、2000年にはサンフランシスコのパシフィック・バンクを買収。米国全体で52ヵ所の支店、140億ドルの資産を持つ。

情報漏洩の被害にあった顧客に対する通知ではCity National Bankは「顧客へのサービス充実のために外部のコンピュータ企業を利用している」と説明している。しかし、このコンピュータ企業の1つが4月にバックアップテープを倉庫へ送付中、紛失した。今年あった他の紛失事件同様に「情報が不正に使用された形跡はない」と漏洩の被害者にひとまず安心を呼びかけながらも、念のため通知することで、万一、事故がある場合の早期発見を目指している。

【執筆:バンクーバー新報 西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  2. Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

    Heart of Darknet - インターネット闇の奥 第2回「五十兆円『市場』」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  6. ISMS認証とは何か■第1回■

  7. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  8. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  9. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  10. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×