知って得するセキュリティのはなし その201
大学の個人情報保存USBメモリー紛失相次ぐ…暗号化されていなかった事例、海外でのPC盗難も
1.このニュースをザックリ言うと
- 3月6日(日本時間)、金沢大学より、同学職員が個人情報を保存したUSBメモリーを学内で紛失したと発表されました。
- USBメモリ―に保存されていたのは、同学卒業生8,910名分の個人情報(住所・氏名・ふりがな)とされています。
- 3月9日には、新潟大学より、同学学生1,128名分および同学の事業への関与者50名分の個人情報を保存したUSBメモリーが2022年4月に紛失していたと発表されました。
- この他、2月から3月にかけて、日本大学・東海大学および成蹊大学の教員が海外でノートPCとUSBメモリーを盗難紛失し、のべ5,500件超の個人情報が被害にあったとみられることが発表されています。
2.執筆者からの所感等
- 金沢大学の事案では、USBメモリー暗号化等の対策を行っており、情報流出は確認されていないとのことですが、新潟大学の事案については、情報持ち出し時の承諾手続き、および機密情報や外部記録媒体の暗号化を行うとする機密情報取り扱いのガイドラインに従っていなかったとされています。
- 日本大ほか三大学の盗難事件はいずれも2月6日にパリ近郊の空港で置き引きにあったとの発表があり、同一犯による同じ場所での犯行とみられます。
- 盗難による情報漏洩の可能性を抑止するためには、USBメモリーなどの媒体はもちろん、PC自体でもディスクの抜き取りの可能性を考慮して可能な限り暗号化を行うよう努めるとともに、暗号化やPCへのログイン時のパスワードも十分に強力なものとすること等も考慮すべきでしょう。
- 組織が契約するオンラインストレージサービスにデータを保存して都度参照するアプローチは、PCが盗難にあった場合にサービス側でアカウントロック等を行うことでそれ以上の情報への不正アクセスを遮断することが期待できますが、より高度な攻撃による不正ログインを防ぐため、パスワードによる認証のみならず、スマートフォン等と組み合わせた多要素認証も設定することが重要です。