No264 尼崎のUSB紛失事故をひもとく

2022年6月21日に尼崎市民の情報を収納したUSBメモリの紛失騒ぎがありました。

幸い、紛失したUSBメモリは6月24日に無事に発見されたとのことですので、まずは安心といったところですが、漏洩していないとも言い切れませんので、今後も注意が必要です。

この事故では有用な情報セキュリティ対策（特に情報漏洩対策）、全メンバへの侵透は本当に難しいなということを改めて感じました。

今回はこの事故の概要と、対策の考え方について解説します。

1. USBメモリ紛失事故の概要
－－－－－－－－－－－－－－

この事故は大手IT事業者（Biplogy。旧社名は日本ユニシス）の担当者が同僚と飲酒（深酒）し、USBメモリが入ったかばんごと紛失してしまったというものです。
USBメモリには、当日の作業で利用した尼崎市民数十万人分のデータが入っていました。

翌日にかばんがないことに気づいた担当者は、会社を休んでかばんの捜索を行いますが発見はできませんでした。
その後、会社と警察に連絡をし、さらに翌日（紛失から二日後）に近くのマンションの敷地内に放置されているかばんを発見したというものです。

かばんは荒された様子などはなく、おそらくは本人が酔って置き忘れたと思われます。
とはいえ、誰かが情報を盗んだかもしれませんので、会社としては今後もダークウェブと呼ばれるブラックマーケットに流通しないかどうかをチェックし続けるそうです。

2. 何が間違っていたのか？
－－－－－－－－－－－－－

今回の事故は、セキュリティ事故の展覧会よろしく、いろんな失敗やミスが重なりました。
どんな失敗があったのでしょうか？

１）使用許可を取らずにUSBメモリを使用した。
　　→USBメモリの利用時は申請するルールだった。

２）作業完了後にUSBメモリの内容を消去しなかった
　　→USBメモリの内容消去がルール化されていた

３）USBメモリ（お客さんの情報）を持ったまま飲酒した。
　　→お客さん情報を持っている場合は通常は飲酒禁止

４）泥酔するほど飲酒した結果、かばんごと紛失した

５）紛失した事実をすぐに会社に報告しなかった。
　　→お客さん情報の紛失時は、関連部署にスグ報告

いずれも大手のIT企業としてはルール化されているはずの内容であり、あり得ない失態です。

3. ルール破りは自殺行為
－－－－－－－－－－－－

この現場ではUSBメモリを使うには本来はお客さん（尼崎市の担当の方）の許可を取るルールとなっていました。
ですが、今回はその許可をちゃんと取らずに使用していたそうです。

また、作業が完了した時点では、作業に使ったUSBメモリの内容を初期化するルールとなっていたようですが、このルールも守られていませんでした。

さらに、この会社に限らず「お客さん情報を持ったまま飲酒しない」ルールは一般的ですがそれにもおそらくは違反し、ましてや泥酔した上で、かばん紛失をスグに報告しませんでした。

情報セキュリティのルール策定担当者からすれば、目を覆いたくなるような大惨事です。

さて、この事故の興味深い点は、ルールに従っていればおそらくは発生していないようなことがいくつも重なっている点にあります。

逆に言えば、せっかく作られたいくつものルールをことごとく破ってしまった結果が今回の事故とも言えます。

例えば、きちんとUSBメモリの使用許可を取っていれば、その次のUSBメモリの使用後に内容を消去する手続きも行っていたはずです。
ところが、使用許可を取らずにやってしまったために、後続のチェック機構も働くチャンスがなくなってしまいました。

また、お客さんの情報を持ったまま飲酒しない、というルールを守っていれば、泥酔することもなく、USBメモリを紛失することもありませんでした。

こういったルールを守るのは地味な作業ですし、面倒な割に得るものが少ない作業でもあります。
今回の事故では、ルールの意義を理解せず、無視することが、いかに大きな事故を招いてしまうのか？ということを如実にあらわしています。

4. 恐いのはルールの形骸化
－－－－－－－－－－－－－

ですが、どうしてせっかく作ったルールが守られなかったのでしょうか？

最もありがちな理由が「ルールの形骸化」です。

今回の事故が形骸化によるものとは断言できませんが、以下のようなパターンはよくあるパターンです。

（以下、申請受付の担当者を「受」作業申請を提出する担当者を「作」と書きます）

１）非現実的なルール
　・作業日程が決まる前に申請が必要なケース
　　受「申請は１週間前にはしていただかないと...」
　　作「でも、３日前じゃないと日程決まらないっす」
　　受「それでも申請は１週間前というルールです」
　　作「じゃ、予定ってことで提出するよ」
　　受「それは困ります。日程変更は認められません」
　　作「じゃ、いつ作業しろと....」

　・承諾には両社の責任者の合意が必要なケース
　　受「申請には両社の責任者の承諾が必要です」
　　作「ちょっと待ってよ、これトラブル対応なんだよ」
　　受「それでもそういうルールですので」
　　作「実作業は３分で終わるよ。手順書も完壁だし先方の有識者チェックも終わっているし、穴はないよ」
　　受「それでも、特別扱いはできません」
　　作「でも先方の責任者って機上の人で、明日まで連絡取れないよ」
　　受「だったら、その後で承諾をもらってください」
　　作「トラブル対応だって言ってるだろ！早くしろって先方も言ってるんだよ！」
　　受「でも、ルールはルールです」
　　作「....(絶句)」
　
２）面倒な割に効果が見込めない（or感じる）ルール
　・押印した書類（紙）が必要
　　作「なんだよ、この『押印が必要』って。いまどきハンコ？」
　　受「はい。そういうルールになっています」
　　作「一体いつのルールだよ」
　　受「このルールの最終改版は....平成三年ですね」
　　作「30年前じゃしょうがないな....。わかった、PDFで送るよ」
　　受「いえ、原紙を郵送でお願いします」
　　作「なんだよ、前世紀かよ！！ってマジで前世紀のルールか...」

　・承認が必要な理由が不明
　　作「この総務課長の承認が必要ってなんで？システム改版の申請でしょ？」
　　受「ボクもわかんないんですよ。総務課長に聞いても『オレが知りたいよ。システム改版の申請なんてオレにはサッパリわからん』なんてどなられるし」
　　（後日）
　　受「わかりましたよ。以前、作業時のトラブルの予波で総務課が尻ぬぐいをさせられたケースがありまして、その時の総務課長が『オレの承認をさせろ』となったと聞いてます」
　　作「その後で、この承認欄が役に立ったケースってあったの？」
　　受「よくわかんないんです。なかったんじゃないかと....」

３）ルールの周知不足
　・新任者への引き継ぎ不足
　　受「あれ？この申請を出すんだったら○○と△△の申請も必要ですよ？」
　　作「え、ウソ。どこに書いてあんの？」
　　受「あれ？前任者から聞いてませんか？」
　　作「だって、あいつ急に退社しちゃったもん」
　　受「それは困りましたね。まとまった資料用意してないんですよ」
　　作「え？前任者に聞くしかないって？」
　　受「そうなんですよ。部署毎にやり方や伝統もあるようですので」
　　作「一子相伝、免許皆伝って戦国時代かよ！」

ここには少々おおげさに書きましたが、筆者の経験を多分に含んでいます。

こういったいきすぎたルール、古すぎるルールというのは応々にして守られなくなります。
ヒトというものは「ルールを守っておけばオレ達は守ってもらえる」と思えばルールを守りますし、「ルールなんて守ってもどうせ役に立たない」と思われれば守られません。

今回の事故がこのようなルールの形骸化によるものかどうかは現時点では何とも言えません。

ですが、ルールの形骸化が進めば同様の事故につながることは容易に想像できます。

5. そんな中でも光る対応が
－－－－－－－－－－－－－

こういった事故が発生するとどうしてもミスをした内容ばかりが注目されますが、本件でも意外に優れた対応をしているケースというのがあります。

今回で言えば、エスカレーションと情報公開までのスピードです。

一般的な話として、USBメモリを紛失した場合、担当者は気づいたらスグに（何を置いても）会社のしかるべき部署に連絡することになっているはずです。
その点、今回の事故の当事者は気づいてから自力で探そうとするなど、対応としては最悪と言っていいです。それでも14時には自力捜索をあきらめて、連絡をしたことは人として最後の一線は守ったと筆者は思います。

極端な話、この人が黙っていればゴマカせたのです。「あのUSBメモリ、もう少し使いたいので持っていますね」「あ、持ってくるのを忘れました。また明日にでも」などとやることも可能でした。

次に、担当者からの連絡を受けたIT事業者の対応もスピーディーでした。

連絡を受けてから約2時間で状況整理をした上でお客さんである尼崎市役所に報告を上げています。これもゴマカそうと思えばいくらでもゴマカせるところを実に実直に行動している点は敬服に値します。

さらに、その連絡を受けた尼崎市役所の対応も大したものです。連絡を受けたその日のうちにヒアリングを行い、翌日の午前中には公式発表（USBメモリの紛失の事実を報告）しました。

これだって、「内々に」という話に持っていくことだってできたはずです。
この難しい判断を短時間のうちに行われた関係者の皆様には感心するばかりです。

5. まとめ
－－－－－

6/21に尼崎で多数の市民の情報を含んだUSBメモリを紛失するという事故が起きました。
幸い、このUSBメモリは翌々日には発見されました。幸いなことに6/26時点では悪用されている形跡はないようですが、断言はできない状況です。

この事故ですが、本来であれば当然守るべきルールがいくつも無視されてしまった結果、起きたものでした。

そもそも、USBメモリの使用許可をちゃんと取っていれば、消去忘れはなく、消去していれば飲酒しようと泥酔しようと失うデータはなく、データが入っていなければ、USBメモリを紛失したとしても単なる落としものに過ぎませんから大した話ではありません。

ですが、どうしてこういったルール違反が起きるのでしょうか？

いろいろと理由はあると思うのですが、筆者が考える大きな理由は次の二点です。

１）現場が納得できないルールは守らせられない
２）皆にルールを周知するには「しつこさ」が必要

次回は今回の内容を踏まえて「守れるルール」についてお話をしたいと思います。
次回もお楽しみに。

（本稿は 2022年6月に作成しました）

本Noteはメルマガ「がんばりすぎないセキュリティ」からの転載です。
当所はセミナーなどを通して皆さんが楽しく笑顔でITを利用いただくために、 難しいセキュリティ技術をやさしく語ります。
公式サイトは https://www.egao-it.com/ です。