【社会】流出HD、暗号化なし 神奈川県の行政文書データ
神奈川県によると、2014年に「富士通リース」(東京・千代田)とHDを含むサーバーのリース契約を結んだが、当時、大量の保存データを暗号化する装置はなかったという。
契約は今春に終了し、県は同社にサーバーを返却したが、同社の委託先のブロードリンク社から18個のHDが流出し、インターネットオークションに出品された。
県は返却前にデータを簡易消去していたが、落札した男性は市販ソフトでデータが復元できた。一方、パスワードを付けていたファイルは復元しても内容を見られなかったといい、さらに高度な暗号化などのセキュリティー対策を取っていれば、情報を全く閲覧できなかった可能性が高い。
県が新たに使用しているHDは暗号化しているという。〔共同〕
2019/12/7 10:34
https://www.nikkei.com/article/DGXMZO53076850X01C19A2CE0000/
さらにファイル単位で暗号化してもいいけど、ディスク全体が暗号化されているので
ディスクが再利用されたところでデータは読み出せない
神奈川県の公務員は個人情報を扱う基本的な知識がないみたいだな
神奈川県も廃棄業者もアホすぎるよ
トラブル時にデータをサルベージ出来なくなる可能性が出てくる
暗号化コンテナ作ってそこに大事なデータを保存するのが良い
当然キーファイルは別の媒体に保存しておく
この条件ならいざという時にその暗号化コンテナファイルをサルベージすりゃいいだけ
個人でもフリーな ChiperShed 使えば出来る
http://www.hy.indireggae.com/ekk/ouyms
文書類なら大した問題ではないが
地方だと報告せずに闇に葬られるんやろうな
消えた年金みたいに
今の時代の機器なら、ディスク暗号化の処理はHWが行うので、ディスク暗号化による
パフォーマンス低下なんて無視できるレベルになっているよ
ディスク暗号化で問題になるのは、クラッシュした時のリカバリーぐらいだな
さすが神奈川やることがエグいわwwwww
素人はそう思うかもしれないが、普通、サーバーのHDDは暗号化しない。
廃棄する時は不可逆破壊するのが前提だし。
http://www.hy.indireggae.com/acu/esmkq
まぁそれ込みで廃棄依頼したつもりなんだろうけど、やっぱり外部業者なんて信頼しちゃだめだよね
http://www.hy.indireggae.com/yiu/imosc
HDDロックくらいかけとけ
http://www.hy.indireggae.com/mga/wykwi
一応やけど群馬の総理大臣やったらしいで
そもそも暗号化かける時に何が必要かとか考えたこともないんだろう
ませいぜい次回更改の時に入れましょうとかって話になるくらいだろうね。あと今設計してるところが滑り込みで入れるかどうかって感じ
パスワードっちゅーか
細切れになって意味を失ったデータは、もう復元できないよ
暗号化しました!→zip
馬鹿かと
http://www.hy.indireggae.com/ygc/kqsoa
そのかわり鯖管が不要なHDDを機械で破壊してる
http://www.hy.indireggae.com/okw/cuwgy
ファイル全体を暗号化して復号化ソフトの入っていないPCからは見ても分から
んようにしているのに、カジノの誘致に忙しくて知恵が回らんのかねwww
朝日新聞は警察に届けずに解析してメーカーに問い合わせと
ここでいう暗号化ってのはTPM使った暗号化のことだよね
チップが載ってないと暗号化できないし後追いでかけようとするとしくじったらバッコリ障害だからなぁ
thx
http://www.hy.indireggae.com/eoc/sukgo
カジノは横浜市な
http://www.hy.indireggae.com/ocg/ymsku
いまはデータセンターでも個人情報を扱っているものはSEDとかで暗号化したものを使うけどね
http://www.hy.indireggae.com/mga/ociik
http://www.hy.indireggae.com/wum/gkmoa
官庁系で個人情報あるシステムはデータセンター内でも一般企業とは物理的に切り離したゾーンに置くからな
建屋内に置くサーバーは暗号化なんてせんよ
病院に収めるシステムを担当しているけど、そもそも今の出荷品でもハードウェア暗号化なんてしてねぇからなぁ。
大学病院でもそんなもの。
http://www.hy.indireggae.com/umq/ywysi
>>51
データセンターのような建屋内の隔離された場所にあるサーバーでも、ストレージが着
脱されて隔離された場所から流出する可能性があるので、現在では、そのようなデータ
センターでも個人情報のようなセキュリティレベルが高いデータを置くサーバーのスト
レージにはSEDなどで暗号化されるようになって来ている
クラウドサーバーの契約時の選択項目にあるから
・確かにJCとホテルに宿泊したが未成年と知らなかったし指一本触れていない
・物体を所持したことは認めるが開封しなかったし何かは知らなかった
・自動車運転中に何かに当たった気はしたが人とは思わなかった
HDDの削除もやってたけど、出退勤時のIDチェックも指紋認証も金属探知もしなかったな。
とんでもなくザルだった。
今でもそうなんだろうな。
全く法整備されてないだろうし。
クラウドとオンプレ区別つけてから書き込もうな。
SEDの導入事例とかを見れば分かるけど、個人情報の取り扱いを厳しくしている組織は
サーバーのストレージを暗号化しているからね
その大学病院は、自分たちが取り扱っている個人情報がそれほどのセキュリティレベル
を要求するものと見積もって居ないだけなんだろう
http://www.hy.indireggae.com/eoq/yqoiy
重要な個人情報を取り扱ったことがないだけなんだろ?
お前は現代のサーバーはすべてデータセンターに集約されていると思っているのか?
医療情報は非常に重要な個人情報なんだがね。
それでも、実際の現場にそんなシステムは普及していない。
それが分からんかね?
某省の登録情報とそれに関連した住基ネットの情報提供サーバ管理してるけど。
>>65
民間企業の事業で流出事故を起こした場合は、次はSEDとかを導入することになるよ
そういうことをしないと再発防止策を説明できないし、賠償リスクがあるから
官公庁とかだったら、次は自分の手でHDDに穴を空けますとかいう言い訳で通るんだ
ろうけど
でも神奈川県には責任無くね?
悪いのは管理してた富士通と廃棄業者だけだろ
http://www.hy.indireggae.com/uqo/imaei
だから、個人情報を暗号化するというのは一般化されていないって言っているんだよ。
トラブルが起こったところから順に暗号化されていくにしても、ずっと先の話。
そもそも、トラブルが起こらない限りルールを変えない役所が暗号化を率先して要件に入れるわけがない。
企業側も無駄にコストが上がることを提案せんし。
ちゃんとしたところだと、産業廃棄用のマニフェストを要求して防止しているから、そういう意味では役所側のルール不備でもある。
とはいえ、今回はリースだから微妙だがね。
そもそも、サーバーにリースを使っては駄目だと思うんだ。
うむ
だから脱着されないようにラックの前どころか、部屋にすら入れないようにしてるんだよ
ハード側で対処してるってことね
もうここまでやっちゃってるんだから、ナマポ受給者リストでもしれっと流しちゃえよ。
自社で物理破壊や論理破壊、ホワイトデータ化しているかどうかの履歴や管理ができているかってのをさ
データ消去までは神奈川県でやらないといかんだろう
おそらく入札条件には入っていただろうし、書いてないところなんてほとんど見ないよ
受注側がやります、できましたといってウソついて書類出したんだろうね
グートマン(Peter Gutmann)推奨方式
ディスク全体の領域に対して最初に乱数を4回、その後固定値を27回、最後に乱数を4回、合計35回の上書きを行います。1996年にピーターグートマンによって紹介された方式です。ソフトウェアでの復元および残留磁気を読み取る装置での復元は不可能になります。
(`・ω・´)有能!しかもフリーソフトでおkとか最高じゃない!
こう考えているから、消去の依頼はしてないだろう
リユース、契約様式は知らんが、事業系廃棄だから
処分の契約書
マニフェスト
排出事業者責任
はどうなってるの?
http://www.hy.indireggae.com/osu/ukwwa
本当俺2chで何べんも言ってんだけどね、政令市の行政職に経験者採用で入社して
そこの部署に京都大学出たおっさんでピボットテーブル知らないやつがいたんだってば
ホント、そんなとこだかんね役所って
県の担当者が、「消去済みです」と答えた場合は、
HDDの内容までは見ないと思う
ちゃんとしたところだとエビデンス要求までする。
廃棄系は特にマニフェストに準じる必要があるし。
Λ,,,Λ
( ・ω・)今後はbitlocker使えるなら使えよ
Λ,,,Λ
( ・ω・)危機管理能力ゼロだな
Λ,,,Λ
( ・ω・)また同じことを先に書かれた
流出結果についてまで責任を負わせられるものなのか?
Λ,,,Λ
( ・ω・)取引先やら重要度で違ってくるだろ
Λ,,,Λ
( ・ω・)裁判で判定されるよ
( ・ω・)さぁ?
業者は再利用前提でリースしてたんだろ
データ消去する必要があったのは行政側
Λ,,,Λ
( ・ω・)ブロードリンク社は何する会社なの???
行政の立場でみると、リース品で消去は約束されてない
リース会社はブロードリンク社へ頼む必要もなかったはずだ
神奈川県によると、2014年に「富士通リース」(東京・千代田)とHDを含むサーバーのリース契約を結んだが、当時、大量の保存データを暗号化する装置はなかったという。
契約は今春に終了し、県は同社にサーバーを返却したが、同社の委託先のブロードリンク社から18個のHDが流出し、インターネットオークションに出品された。
100〜のスレッドの続きを読む
