BLOG

ブログを掲載しています。

【続報】尼崎市 USBメモリ紛失調査報告書公表

尼崎市のUSBメモリ紛失事故の続報です。

約40頁の詳細な調査報告書が公表されました!
これまでなんとなくわかっていたけど曖昧にしていた問題が、
今回の事故を機に一気に明るみになった・・・ヽ ( ꒪д꒪ )ノ
という感じです。

とても興味深い内容なので共有します。

amagasaki1.png

(尼崎市HP:https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html



私が内容を読んでみて、
気になったポイントを以下にピックアップしてみました。
(BIPROGY 株式会社:B社、今回紛失したB社の再々委託先従業員:Aとする)
自分で読もうと思ってもなかなか落ち着いて読めない・・・
という方は、小塚の気になる部分だけでも見てみてください。

◆Aは自分の身分について口止めされていた。(P3)

amagasaki2.png

サーバルームへの入退室のための管理カードの申請もB社従業員として申請(P7)

amagasaki5.png

市は再委託・再々委託について承諾しておらず、市職員も再委託・再々委託されていることを知らなかった。(P30)

amagasaki8.png


データの抜き出しに関する許可運用が緩い。(P4)


amagasaki3.png

サーバに接続できるUSBメモリの制限等はなかった(P7)

amagasaki7.png


普段からUSBメモリの削除、パスワード設定運用が緩い。(P5)

 →普段から使用後に削除する運用でできていない。
 →設定しているパスワードが弱い。

amagasaki6.png

B社から再委託先や再々委託先に対してセキュリティ監査を実施したことがない。(P31)

amagasaki9.png

尼崎市もB社に対してセキュリティ監査を実施したことがない。(P32)

amagasaki10.png

といった感じで、かなり具体的な問題点が詳細に記載されています。
ほかにもたくさんの情報がモリモリで、ここに書ききれないのですが、
セキュリティ関連業務に携わる者としては必読の調査書となっています。

なお、主な対策としては、
記載されている内容から以下の3点にまとめられるかなと思います。

①サーバルームの入退室権限付与、サーバアクセスの厳格化
・申請時に、無断再委託・再々委託先についても厳格にチェック。
・サーバルームに業者単独で入室禁止(市職員が帯同)。
・物理的な入退室だけでなく、サーバへのアクセスも市職員の生体認証が必要。

②監視体制の強化
・監視カメラの設置、ログ保存機能の刷新、作業記録の義務付け。

③尼崎市の情報セキュリティガバナンスの見直し
・体制の抜本的見直し、契約事務の見直し、教育・監査。


以上、私が読んで気になった点をまとめてみましたが、
皆さんもぜひ一読されることをお勧めします。

なお、この事件に関する処分についても、
報道されていましたので、メモっておきます。
(調査書には記載されていません。)

<処分等>
☑︎最高情報セキュリティ責任者(副市長)
→1カ月分の給与の10分の1を自主返納
☑︎総務局長
→戒告の懲戒処分
☑︎市はビプロジーに対し、損害賠償を求める方針

2022/11/29   小塚 真紀子
< 前の記事     一覧へ     後の記事 >