2014年09月03日
VUMSなら防げる「スマホによる個人情報漏洩問題とその対策」
最近、スマートフォンにより、大規模な個人情報漏洩事件が発生しました。問題を起こした企業は、USB利用は基本的に禁止していましたが、外部委託のSEがひょんなことから、スマートフォンで情報を取得することができることがわかってしまいました。普通ならば、スマートフォンで抜き取れることがわかったところで止めるのですが、犯人はここぞとばかりに、合計約2400万人分の個人情報を抜き取って、業者に売ってしまいました。
なぜ、このようなことが起きたのか?
今回の事件の原因は、このような行為は情報漏洩であり犯罪であるという認識を持ちながら実行した犯人の問題でありますが、それを防御、抑制できなかったシステムの問題でもあります。そのシステムの問題とは、USBメモリの接続対策を行っていましたが、MTP/PTP接続機器は接続対策を行っていなかったです。この欠陥に犯人がスマートフォンの充電時に気がついてしまったことが始まりです。
この欠陥はなぜ起きたのか?
スマートフォンがこれだけ一般的になった現在では、シンクライアントシステム上でもよくある状況であり、スマートフォンの充電は許可されていないが、「充電だけ」という認識で、USBにデバイスを挿しているケースが多く見られます。このスマートフォン中には、iPhoneを始め、デバイス内部にデバイスドライバを保有し、接続時に自動的に端末にインストールしてしまうデバイスが存在します。通常、スマートフォンが接続されると、MTP/PTP方式で接続される形です。MTP/PTP転送方式の機器は、PCにファイルを取り込むことはできますが、直接デバイス内にファイルを保存できません。ただし、専用のアプリケーションを利用することによってデバイス内にファイルを保存することができます。
この問題を防ぐ方法はあるか?
この問題を防ぐためには、以下の課題をクリアする必要があります。
A) USB接続で接続するが、接続方法がUSBストレージ形式のデバイスと異なるため、USBストレージを対象にしたセキュリティ施策が有効にならない。
B) MTP/PTP形式の多くのデバイスが、デバイス内部にデバイスドライバを抱合している、またMS標準のデバイスドライバがあり、接続すると容易にデバイスをPCが認識し、使用可能になる。
C) マルチユーザー対応をしていないため、複数のユーザーがログインしている環境では、全てのユーザーに共有されてしまう。
この課題を解決して、欠陥を防ぐ方法としては、VUMSを利用することです。VUMS環境下では、USBデバイスを接続可能にするためには、“デバイス登録”が必要です。このデバイス登録によって、USBデバイスが登録されたものであるか、未登録であるか判断する機能が備わっています。VUMSでは、USBのデバイス情報(ベンダーID(VID)、プロダクトID(PID)及びシリアル番号)を登録することで、初めて利用することができるようになります。さらに、VUMSは接続しようとしたUSBデバイスの状況がログファイルにて記録され、未登録デバイスも同じようにアログ・ファイルに記録されます。
ログファイルに記録される情報は以下の通り
日時(接続申請時、接続時など)
デバイス情報(VID,PID,シリアルNo)
接続環境(ユーザー名、PC名、サーバー名、IPアドレス)
接続設定(登録・未登録、読取のみ・書込許可)
接続アクション(接続許可・拒否・失敗など)
VUMS環境下では、スマートフォン等のMTP/PTP方式での接続は基本的に禁止となっています。従って、このような個人情報漏洩事件は起きないということです。
さらに詳細な資料が必要な方は、 お問い合わせ よりご連絡ください。