【 ここから本文 】
- TOP
- > Topics : コンプライアンス
- >
コンプライアンス
ソーシャルブックマークに登録 :
印刷用ページの表示
【連載】
情報漏洩100%対策──あらゆるリスク、ケースを徹底検証
第4回 情報が保存されるPC/記録媒体からのアプローチ
(2006年03月23日)
PCの紛失・盗難には暗号化で対処する
さらに、PCの安全性を確保するにあたっては、紛失や盗難に関する対策を講じる必要がある。これまで、PCの紛失や盗難は“当然、あってはならない事故”と見なされていたため、その防止策が正面切って取り沙汰されることはなかった。しかし、昨今の情報漏洩事件からもわかるとおり、PCの紛失や盗難は容易に起こりうる事故であり、その責任が企業に問われるようになってきている。したがって、今後企業では、PCの紛失や盗難を防ぐために対策を講じることが必須となる。
その対策としては、運用規則で不要な情報の持ち出しを制限し、リスクを軽減したうえで、PC内のデータを暗号化をすればよい。PCの暗号化は、ファイル単体の暗号化からハードディスク全体の暗号化までいくつか種類があるが、人的ミスはハードディスク全体を暗号化しないことには防げない。
ただし、PCの暗号化ツールは、利用するソフトウェアやPCによって相性のよしあしがあり、最悪の場合、暗号化したデータを二度と復号できなくなるおそれもある。そのため、導入前に実環境で十分にテストを行い、実用時に発生する可能性がある問題を調べておく必要がある。実際、テストを十分行わずに暗号化ツールを導入したために、暗号化したデータを取り出せなかったうえ、PC自体に不具合が発生し、結局、既存のデータまで失ってしまったという悲惨なケースも起きている。
暗号鍵をハードウェア・トークンに保管してリスクを分散する
PCの暗号化に用いる暗号鍵は、ハードディスクではなく、ハードウェア・トークンに保管するべきである。暗号化に必要な要素がそのPCにすべてそろっていたのでは、暗号化する意味が薄れてしまう。
実際、PCの暗号化ツールの大半が、暗号鍵の保管先をUSBキーとしている。その場合、ユーザーは常にUSBキーを挿した状態でPCを利用し、利用し終わったらキーを抜くといった運用形態になる。そして、USBキーを使う際には、パスフレーズを入力して暗号鍵を有効にする。パスフレーズとUSBキーの2要素を用いて認証が行われるため、パスフレーズだけによる認証よりも秘匿性が高まる。
その際、USBキーは当然、PCとは隔離しておかなければならない。例えば、外出時にはUSBキーを身につけ、ノートPCはかばんに入れるなど、USBキーとPCを隔離することによって、どちらかを紛失しても情報を守ることができる。
また、ハードウェア・トークンには啓蒙効果があることも言い添えておきたい。トークンに暗号鍵を割り当てることで、ユーザーに、情報を保護しているという意識を明示的に与えることができるのだ。同様のアイデアに、バイオメトリクス認証がある。この場合、生体情報を暗号鍵とするわけではないが、破られにくく、信頼性の高い生体情報を認証要素とすることで、暗号化の強度が増すという効果が得られる。さらに、生体情報は基本的には紛失の心配がないため、その導入コストが予算を圧迫しないなら、ユーザーの手間などを減らすという観点からも有効な認証手段であると言える。
自宅からリモート・アクセスしてくる私物PCの取り扱い
これまで企業・組織で利用されるPCや記録媒体の安全性を確保するための対策を紹介してきたが、その中で1つ、あえて無視していたことがある。それは、社内ネットワークに自宅からリモートでアクセスしてくる私物のPCの扱いである。自宅のPCは当然、組織の管理下には置けないため、十分なセキュリティ対策を講じることはできない。したがって、その接続を認めるかどうかは、社内ネットワークのセキュリティの維持に大きな影響を及ぼすことになる。
例えば、自宅から社内メールを利用する場合、メール受信プロトコルとしてPOP3を利用していればメールのコピーが自宅のPCに作成されるし、Webブラウザからメールを利用するとキャッシュが残る。つまり、メール・データのコピーが簡単に社外に作られてしまうわけだ。この問題に対しては、グループウェアのようにローカルにキャッシュさせないアプリケーションを用いれば対応は可能だが、私物のPCの持ち込みと同様、私物のPCを用いた自宅からのリモート・アクセスも、最終的には禁止するべきである。
自宅から社内ネットワークへのリモート・アクセスを実現する方法としては、社内のノートPCを持ち帰った場合にのみ認め、さらに検疫ネットワークやハードウェア・トークンとPC内の情報を組み合わせた認証を用いることによって、管理外のPCの接続を拒否するといったことが考えられる。ただし、この場合、ノートPCを自宅に持ち帰る回数が増えることで、紛失のリスクも増すので、結局“痛し痒し”である。
- 情報漏洩100%対策──あらゆるリスク、ケースを徹底検証
- 第1回 情報漏洩対策の根本を考える
-
第2回 ネットワーク運用からのアプローチ(1)
「内部から外部への通信」におけるリスクと対策 -
第3回 ネットワーク運用からのアプローチ(2)
「内部ネットワーク内の通信」におけるリスクと対策
- 第4回 情報が保存されるPC/記録媒体からのアプローチ
- 第5回 情報を利用する「人」からのアプローチ
- 第6回 インターネット掲示板を舞台とする情報漏洩、誹謗中傷への対処法
- 第7回 営業秘密の漏洩をいかにして防ぐか ―不正競争防止法と企業の管理体制―
