転換期を迎える顧客情報バックアップテープの取り扱い(2)人為ミス、そして高まるバックアップテープ暗号化の声
●大金を投資しても使用しなければ無用の長物
特集
特集
UPSは世界最大のクーリエ会社だ。その評判にふさわしいよう、設備投資にも力を入れている。例えば、UPSでは10億ドル以上を毎年ドライバーのワイヤレス携帯端末やスマートラベルなどに投資している。しかし、これらの投資も結局は人為ミスを防げなかったということになる。CitiFinancialの事故では折角、投資して整備した技術を使用しなかった。個人情報漏洩事件で、ハッカーなどのハイテク犯罪ももちろんだが、何よりも危ないのは人為ミスだという専門家もいる。今回はそれを証明したようなかたちだ。スタッフ訓練などでセキュリティ手順の確認の必要性が求められている。
UPSでは荷物を集荷して届けるまでは通常、数ヵ所でスキャンを行い、トレースできるようにしている。集荷した時点、仕分け施設、空港、飛行機などだ。これにより、どの地点で紛失したのか、割り出せるようになっている。今回の事件のように、集荷時点で、1個1個の荷物をスキャンし忘れると、「建物を本当に出たのかもわからない」というわけだ(UPSテクノロジー広報担当)。UPSでは米国のネットワーク全体で広範囲に調査を行ったというが、現時点でも見つかっていない。
このような紛失事故はどれくらいあるのか。1日あたり1410万個の荷物を扱うUPSは紛失について、詳しい数字は明らかにしていない。しかし、出荷の際に宛先ラベルなどが損傷して、荷物の送付先がわからなくなることもあると、事故が実際に起きることは認めている。
しかし、今回はスキャン処理を怠った他に、CitigroupがUPSに求めている規則で守られなかったことに”exception notice”がある。これは、荷物が送付先に到着しなかった場合に通知を行うというものだ。CitiFinancialでは6日以内に到着しない場合と明確に期限まで指定しているにも関わらず、その連絡を行わなかった。事故はExperian側が、定期的な検査を行っていて判明した。
●相次ぐバックアップテープ紛失事故
今年に入って2月には、バンク・オブ・アメリカが、また5月にタイム・ワーナー社が極秘情報の入ったバックアップテープを紛失した。さらに7月にも、City National Bankで同様の事件があった。
City National Bankはロサンゼルスのビバリーヒルズに本社を持つ、カリフォルニア州では最大の金融機関のひとつだ。「ハイエンド」な顧客、つまり比較的富裕層や有名人を顧客とする金融機関で、2000年にはサンフランシスコのパシフィック・バンクを買収。米国全体で52ヵ所の支店、140億ドルの資産を持つ。
情報漏洩の被害にあった顧客に対する通知ではCity National Bankは「顧客へのサービス充実のために外部のコンピュータ企業を利用している」と説明している。しかし、このコンピュータ企業の1つが4月にバックアップテープを倉庫へ送付中、紛失した。今年あった他の紛失事件同様に「情報が不正に使用された形跡はない」と漏洩の被害者にひとまず安心を呼びかけながらも、念のため通知することで、万一、事故がある場合の早期発見を目指している。
【執筆:バンクーバー新報 西川桂子】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd
《ScanNetSecurity》