尼崎市USBメモリ紛失事案のレポートが教えてくれる「小さき声」の重要性：半径300メートルのIT

尼崎市は2022年11月28日、同年6月に発生したUSBメモリの紛失事案に関する調査報告書を公開しました。今回はそれを読んで筆者が考えたことをお伝えします。

[宮田健，ITmedia]

　2022年6月22日、兵庫県尼崎市によるUSBメモリの紛失事案が発生したことは記憶に新しいでしょう。本連載でも同事案を“アンチパターン盛り合わせ”として取り上げました。ここから多くのことを学ぶことができたでしょう。

　尼崎市は2022年11月28日、本件についての調査報告書を公開しました。これによれば、事件発生時の会見で話題になった“英数字13桁のパスワード”については「本件事案発生直後にSNSなどでうわさされていたような容易に想像がつくパスワードではなく、文字種が多彩でブルートフォース攻撃に対して耐性の高いパスワードが設定されていた」（16ページ）とあります。

　また、尼崎市とBIPROGY（元、日本ユニシス）の間では「『amagasaki』『Amagasaki』『AMAGASAKI』や、これらに単に日付を追加するだけの、いわば辞書攻撃をするまでもなく誰でも簡単に思い付いてクラックできるパスワード設定が複数みられた」（15ページ）といった記載があるなど、全体的に非常に興味深い内容です。

　一部分だけ抽出してもなかなか伝わらないと思いますので、これに関しては皆さんも時間をとって通読することを強くお勧めします。日本組織におけるセキュリティの悪いところ、しかし思わず共感してしまう記載が多数あります。

個人情報を含むUSBメモリーの紛失事案について（出典：尼崎市のWebサイト）

調査報告書を読み解く　「できること」と「やっていいこと」の距離

　報告書によれば、懸念されていた情報漏えいはUSBメモリのログからも確認できなかったとのことでした。無事に見つかったUSBメモリはセキュリティ機能で暗号化されていたことも判明しています。USBメモリに情報をコピーしたことについてはさておき、可搬型ストレージデバイス自体にしっかりとした対策を講じていた点は評価すべきでしょう。

　しかし筆者としては、報告書の下記の記載に多くの課題が含まれているように思えました。

「本件事案では、紛失した2本のUSBメモリからの情報漏えい問題に関心が集まっているが、給付金サーバからコピーされた個人データは上記2本のUSBメモリだけでなく、他の諸記憶装置（内蔵、外付け、可動式を問わない）にも複製して記録されている。複製記録された個人データは、給付金サーバ、2本のUSBメモリ、その他の諸記憶装置を問わず、いずれも同じ尼崎市民46万人分の個人データであり、その生成、保存、移動・運搬、複製・複写、消去・廃棄の情報ライフサイクルすべてに対し安全管理措置が必要となる」

（「尼崎市 USB メモリ―紛失事案に関する調査報告書」（19ページ）より抜粋）

　これを読む限り、今回の事件は単なるUSBメモリの紛失というよりも、平時から個人データを雑に取り扱っていた結果、さまざまな場所に重要データが散らばっていて管理できていなかったことが原因だと分かります。たまたまそれが、USBメモリを紛失したことで明るみに出たわけですが、それがなかったとしてもいずれインシデントが発生していたことは想像に難くありません。

　サイバー攻撃者の攻撃手法が進化し、社内ネットワークへの侵入も以前より難しくなくなってきている今、従来通りの境界型防御ではセキュリティの確保が困難になっています。しかし私たちは相変わらず、重要データを社内のファイルサーバや個人のPCに保存してしまいがちです。あるペネトレーションテスターが、組織のネットワークに侵入時、IDやパスワードを記したテキストファイルがPCやサーバに無造作に置かれているのをよく目にすると言っていました。こういったことは決して特別なことではないのかもしれません。

尼崎市だけが“特別”ではない　セキュリティを「自分事」にするには？

　今回の報告書には、多重請負を隠すために「再々委託先従業員であることを市側に明かすことができず、今日は名刺を持ってきていない、と述べて、市職員との名刺交換をしなかった」など、胃がキリキリするような表現も含まれています。それに、上記のような重要データの取り扱いなど、小さな事故がすでに多数起きていたと考えて良いでしょう。

　ただ、これは果たしてBIPROGYや尼崎市だけで起きていることなのでしょうか。そんなことはないはずです。恐らく実際にはどの企業でも程度の多少はあれ、日常茶飯事になっていることだと想像します。

　サイバーセキュリティ対策は基本をしっかりとしておけば、多くの事故は防げると思っています。基本とは脆弱（ぜいじゃく）性を解消することやパスワードを守ること、設定不備を見直し、脅威の手口を知ることです。その上で、これらがないがしろになるような小さな出来事や行動をつぶしていき、サイバー空間が“清潔に”なり、私たちの意識も高めていくことが重要です。

　そのためには、組織内にある「小さな声」を聞き逃さないこと、そしてその声を真摯（しんし）に受け止めることが重要です。このレポートでもデータの取り扱いに対して「本当にこれで良いのか」という疑問が挙がっているにもかかわらず、それが聞き入れられていなかったということも報告されています。

　恐らく組織の中にもセキュリティ対策に違和感を覚えている人がいるはずです。管理者パスワードが共有されていることは本当に良いのか、その情報は個人の「LINE」で送ってしまって良いのかなど、小さな違和感はたくさんあるでしょう。そういったものに対する声を、いかにすくい上げられるかが、大きな事故を防ぐ一つの方法論なのかもしれません。

　犯罪率の低下を狙う手法として「割れ窓理論」という言葉がよく出てきます。割れた窓がある地域では犯罪率が高く、そういったサインを見逃さず小さな対策を講じることで、凶悪犯罪を抑止できるというものです。また、労働災害における経験則として、1件の重大事故の裏には29件の軽微な事故と300件の不安全行動があるという「ハインリッヒの法則」（1：29：300の法則）があります。これはサイバーセキュリティにおいても同様だと筆者は考えています。

　小さな声をつぶす組織には、大きなしっぺ返しがくると思っています。だからこそ今回のインシデントでは、このレポートをよく読み、「きっかけ」がないかを探る必要があると思っています。小さいながら声を上げていた方、そして紛失を届け出た当事者、レポートを公開した尼崎市に感謝しつつ、私たちが今できることをもう一度考えていきたいと思うレポートでした。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。