Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

(仮記事)ブロードリンクの記者会見

2時間の記者会見映像をみましたが、思った以上にブロードリンク社の管理体制はザルでした。

 

ヤフオクの落札履歴では充電器、中古iPhoneUSBメモリ、中古デジカメ、イヤホン等が落札されているのですが、これらもブロードリンク社から不正に持ち出されている事が、記者会見では否定されませんでした。

 

以下気になった点。

 

抜き打ちの持ち物チェックも、正社員の勤務時間がばらつくので、実施されていたかはわからない。

 

持ち物チェック実施の記録もない。ただしパート社員には実施していた。

 

消去作業は1人作業だった。

 

消去作業用の籠に入ったハードディスクは、物理破壊の破壊証跡(穴を開けた写真)を残さなくても良い。

 

監視カメラは何かあった時に確認するだけで、常時監視はしてなかった。(録画してるだけで、保存期間はセキュリティ上の理由として回答拒否

 

早朝に容疑者が作業に関係がなく入退室した際の入退室記録も全くチェックされてなかった。(ログとっているだけ)

 

PC端末からハードディスクを抜き取って消去工程に渡した段階で、消去済登録されていた。(実際の廃棄作業の台数は確認してなかった)

 

消去証明書(物理破壊写真、ソフト消去のログ)はオプション。今回の神奈川県の作業契約には消去証明は求められて無かった。作業完了報告書のみ発注者に提出されている。

 

…他にも気になった点もありますが、取り急ぎ。