紛失か盗難か？　消えたデータテープ（2）

●テープ紛失は日常茶飯事？

Bank of Americaの事件は珍しいことではない。バックアップテープが施設を移動するのは一般的だし、紛失・盗難については、市民が知らないだけで、実際に起こっていることだという。

「バックアップテープを暗号化しようと考える人は殆どない。現場から離れたところに、移転することで、安心する傾向にあるからだ」とEnterprise Strategy Groupの上級アナリスト、ジョン・オルトシックは現状を憂慮する1人だった。しかし「今回の事件でやっとリスクが明らかになった」と、前進だと評価する。

暗号化の必要性については、バックアップのプロセスで、追跡システムを持たない、多くの第三者が関わっていることが理由の1つで、実際テープが間違って別の倉庫に送られることもある。単なる紛失でなく、テロリストや犯罪者などの手に入る事故による被害を抑えるためには、暗号化が一案だ。

Decru およびNeoScaleは、記憶装置にデータが送付される前に暗号化するシステムを開発している。Decruはネットワーク化したデータの保管セキュリティで、リーダー的な役割を果たしていて、ワイヤスピードで、障壁なく配置が可能な装置を開発。去る3月にもワシントン州最大の信用組合、Becuが同社との契約を新たに締結した。会員データおよびバックアップテープを暗号化するシステムを提供することになった。

Iron Mountainでは、バックアップテープを別の場所に送付する代わりにデータを圧縮し、ネットワークを通じて別のロケーションに送付する。こうすることで、多数の手により、物理的に取り扱われる数が少なくなる。Enterprise Strategy Groupのジョン・オルトシック上級アナリストは、「今回の事件で、Decru、Kasten-Chase、Neoscaleなどは多くの金融機関から照会があったようだ」とコメントしている。

「それにしても、たった数本のテープを航空輸送したというのにも驚く」カリフォルニア州のSRI Internationalのピーター・ニューマンはいう。大量のテープなら輸送も考えられるが、数本なら今の時代、インターネットや高速電話ライン、衛星コミュニケーションなどで送付できたはずだという主張だ。「やけどをするまでは、何もしない」として、企業が姿勢を変えることを求める。

さらに、物理的に送付するのであれば、体制整備が必要だ。サプライヤーやパートナー、倉庫、運送会社などを監視・追跡システムなどで、管理する必要がある。また、暗号化についても監査を行い、確実な処理が求められる。バックアップテープ紛失が、個人情報盗難につながるかもしれないという問題が注目を集めたのは、ある意味では良い機会だ。企業のシステム改善に期待できるかもしれない。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd