Hatena::ブログ(Diary)

極楽せきゅあ日記 このページをアンテナに追加 RSSフィード

2006-04-05

[][]ノートパソコンの漏洩対策その3

重要情報を載せて使うとき

本論に戻ろう。

どうしても個人情報(などの重要な情報)をノートパソコンで取り扱わざるを得ない、となったときにはどうすればいいだろうか?

その場合は、まずノートパソコンの機能を限定する必要があるだろう。ノートパソコンに限らずどのコンピュータでも同じだが、使う権限を安易に与えすぎる傾向がある。そのコンピュータを管理する管理者の権限と、一般的な利用だけの利用者の権限は当然異なるし、それに応じた権限を付与すべきであるのだが、きちんとその切り分けができていないと「与えすぎ」になってしまうのである。その結果、過剰な権限を利用して一般の利用者がファイル交換ソフトを勝手に導入して、ファイル交換ソフト上で動くウイルスに感染して重要な情報が漏洩してしまうのである(原子力発電所の重要情報などが、まさにこの原因で漏洩している。http://japan.cnet.com/news/sec/story/0,2000050480,20084712,00.htm)。ソフトウエアを勝手に入れて使えるようにする権限を与える必要はほとんどの場合無いはずである。業務で使うソフトウエアも何種類かに限定できるだろう。それさえ不自由なく使うことができれば、業務には支障が無いし、支障があるのならば使い方に問題があると考えた方が良いだろう。

ノートパソコン(コンピュータ)の機能を限定したら、次にやるべきなのは個人情報(などの重要な情報)の取り扱い手順を決めることだ。重要情報をコピーする場合、例えば上長の許可を得ることとし、使い終わったら必ず消去するように手順化する。

ただし、手順化したところで終わりというわけではない。手順を考えるときに抜け勝ちなのは、この例で言えば「上長が居なかったときにどうすればいいのか」ということである。そういう場合の処置も合わせて考えておく。

手順化のときにもう一つ考えなければならないのは、ちゃんと手順通りに扱われているかどうかをチェックすることである。チェックするための記録を残すソフトウエアを導入する手もあるが、導入すべきノートパソコンやコンピュータの台数によっては残念ながら少し高くついてしまうかも知れない。多数のコンピュータに大量の記録を残していたとしても、どうやって消化(分析、チェック)するのかという厄介な課題が存在する。それよりは、記録を残すべきコンピュータは絞り込み、そのコンピュータでのみ大事な情報を取り扱う、とした方が現実的だろう。ソフトウエアを導入できないときの代替手段としては人手をかけて抜き打ちなどでチェックする方法が考えられるが、こちらも絞り込まれていないと膨大な作業になってしまう。

ではもし、重要な情報を扱うノートパソコンやコンピュータを絞り込めず、どうしても全社員のコンピュータで重要な情報を取り扱わなければならないとしたらどうすればいいのであろうか。その場合、「重要な」情報を「全社員」が扱う、という事実自体が自己矛盾していると言えるため、「重要」というものの設定を根本的に考え直すべきであろう。

漏洩した後への対策

事後への対策についても考えておこう。ただし、広義の事後対策ではなく、漏洩してしまったとしても読み取れないようにするなどの、ノートパソコンに関わる「事後対策」に限定する。(広義の事後対策についてはまた別の機会に触れようと思う)

ノートパソコン自体が無くなった場合、ノートパソコンの中に格納されているデータを簡単には読み取れないようにしておきたい。それにはいくつかの方法がある。

USBキーなどのように、手持ちのキーを差し込まないとそもそも使うことができないようにしておく、というのが、さしあたっては最も強力な手段であろう。ノートに限らず、コンピュータの中身をOSを使って読み出す場合には、IDとパスワードが必要になる。少し余談になるが、パスワードがかかっていないというのは、この段階で「論外」であると言えるだろう。簡単なパスワードというのもそれに準ずる。パスワードは英数字に記号も組み合わせて、可能な限り難しくすることが最低限必要だが、そこで最大の難関は記憶しておくことになってしまう。しかし、難しいパスワードであってもメモしておけば良いのだ。メモしておき、財布にでも入れておこう。仮にノートパソコンが無くなったとしても、財布が手元にあればいいのだ。USBキーもそれと同じで、パソコンだけ手元にあっても、その中身を見ることは非常に難しくなる。

他に指紋による認証手段もあるが、これはセキュリティ上からはお勧めできない。USBキーやパスワードと違って、指紋はノートパソコン本体、キーボードなどにどうしても付着してしまう。これは言わば、鍵をノートパソコンに付けて管理しているということなのである。言い換えると、USBキーもパスワードも、鍵は分離して管理できるが、指紋はそれができない、ということである。

また、パスワードだけの管理をしている場合には、別なコンピュータにノートパソコンの中身のハードディスクを接続されて読み出される危険がある。しかし、これに対してはハードディスクの中身を暗号化しておく手段で対抗できる(暗号化ファイルシステム、データ自体の暗号化など)。USBキーの場合暗号化も同時に行ってくれることもあり、この組み合わせは現実的なコストでは読み取れないだろう。相手が経済的利益目的の犯罪者であれば、コストに見合わないことはやらないはずだ。コストをかけて読み取ろうと努力しても、読み取ることができるかどうかわからないようなことにかまけて時間を浪費するよりも、次のもっと簡単に読み取れる獲物に取りかかる方が効率的に儲かることになるのである。

(ただし、ここでも気をつけなければならないのは、Windowsの暗号化ファイルシステムを使う場合である。Windowsの暗号化ファイルシステムの場合、そのままの設定で使うと鍵と暗号になったデータを同じハードディスクの中に素のままで保管することになる。SYSKEYコマンドなどを用いて鍵を読み出しにくくするか、鍵を別な媒体に載せて分離して管理するなどの処置が必要である)

今回は多くの漏洩事例の原因となっているノートパソコンの漏洩対策について考えた。次回は組織的な取り組みとしての漏洩対策について考えてみようと思う。(2005年7月作成完了:少しだけ改訂して掲載)

2006-03-27 You Don’t Know What Love Is/harvey Mason Trio

[][]ノートパソコンの漏洩対策その2

そのノートパソコンは必須なのか?

予防策も大きく二つに分類できる。

一つはルールや取り扱い手順を定めるという、人間を管理する目的のもので、もう一つはソフトウエアを導入するなどの技術的な対策である。

情報を取り扱う手順を定型化する目的は、ヒューマンファクターの排除にある。都度セキュリティ上適切に判断できるスタッフばかりであれば、特に手順を定める必要も無いが、実際にはそんなことはまずありえない。手順の定型化はどうしても必要になってくる。さらには、定型化した手順を逸脱しないようにルールを定めて、手順の徹底をはかる。

もう一つは、保護の対象となるデータをソフトウエアなどで守る、いわゆる技術的な対策である。目的は主にその情報(ファイル、データ)へのアクセスを制御することにある。その情報を見てもいい人は誰なのか、編集してもいい人は誰なのか、そうした制御ルールを定めて、そのとおりにソフトウエアを設定してコントロールする。

とはいえ、まずはノートパソコンを使うこと自体の是非から検討すべきだ。やむを得ずノートパソコンを使わなければならない、そういう業務上の要請があるとしても、はたして社員全員が使わなければならないのか、その点も検討すべきであろう。

ノートパソコンは(今あるすべてが)業務上必須なのだろうか?

それを量るには、すでにノートパソコンを大量に導入していたとしても、それをすべてデスクトップ型(据え置き型)に変更してみて不都合が生じないかどうかを考えてみるといいだろう。そのような使い方を強いても特に不便が無いのであれば、そもそもそういう体制、およびルールにすべきだろう。買ってしまった資産を今さらどうにでもできないということなら、ノートパソコンを物理的に持ち出せないように、勤務机にワイアでくくりつける、という手もある*1

どうしてもノートパソコンを業務上使いたいとき

しかし、ノートパソコンをお客さんのところに持って行って、そこで積極的に営業活動を行うことに活用したい、ということであれば、使いながら安全を保つ方法を考えることが必要になる。セキュリティは確かに重要だが、それを至上とし過ぎて本業に無理を強いるかどうかは、経営判断、あるいは部署のマネジメント判断としてしっかり考えるべきであろう。もちろんそれ以前に、セキュリティ対策を何ら実施していない、というのは論外だが。

しかし、実際のところ安全にノートパソコンを活用する、ということは可能なのだろうか?

まず、ノートパソコンの使い方を考えるところから始めてみよう。ノートパソコンの用途は何だろうか?出張、営業活動、自宅での活用、出先でのメール処理などが一般的には用途として上がるだろうか。とにかく現在の使われ方について、ここでも列挙してみる。

次に、列挙した用途を眺めながら、共通項を洗い出す。その際ポイントになるのは、「紛失・漏洩したときに困るような大事な情報」を扱っているかどうかである。さらに言えば、「ウチの会社にとって漏洩すると困る情報とは何か」を把握しておかなければ、そうした分析はできないはずだ。

もしそこで、個人情報などを実際に取り扱っていたとしよう。それは本当に必要な「取り扱い」なのだろうか?を単に便利だから、とか、面倒だから、などの理由で安直に取り扱っているだけではないだろうか?業務上必須でないのであれば、そもそもノートパソコンに乗せること自体危険なのだから、ルール化するなり、技術的対策を講じるなりしてそうした取り扱い方は避けるべきだろう。

ちなみに「ルール」というのは、ある意味性善説に則ったものであり、技術的対策は逆に性悪説に基づいていると考えていいだろう。「ルール」は人が守るであろうことを想定しているのであって、技術的対策は人は誰しもミスをするし、ルールを破ろうと考えることもあるから、そういう事態を想定している。安全なのは後者だが、とはいえ技術的対策を導入するためには、予算やノウハウを持った人材の確保などの決して低くはないハードルがある。ルールによる対策も視野に入れながら、自社にとって適正な両者のバランスを考えていくべきであろう。

*1:モバイルPCをワイアでくくりつけるというのも笑い話に近いが

2006-03-10

[][]事例に学ぶインシデント・レスポンス*1

第一の事例:ファイル交換ソフトウエアによる漏洩

Winny(ウイニー)という名前のファイル交換ソフトウエアがある。ファイルの交換とは、文字通り「ファイル」を「交換」するわけだが、「交換」するファイルは現在公開中の映画だったり、CDなどからコピーされた音楽だったりするのだ。つまり違法である。そこが大きな問題になっていて、著作権を管理代行する業者や警察などは取り締まりに躍起になっている。

「交換」されているものには大いに問題があるが、「交換」する仕組みはしかし、画期的であるとも言える。

これまで「ファイル」をやり取りする場合には、サーバーと呼ばれる集積所を開設してそこにファイルをためこんで、ファイルが欲しい利用者はそのサーバーにアクセスしてファイルを「ダウンロード」していた。しかし、Winnyに代表されるファイル交換ソフトウエアは、サーバーを必要としないのだ。一つのコンピュータに集積するのではなく、ファイルそのものはファイル交換ソフトウエアを持つコンピュータの「どこか」に存在する形になる。見た目は集積所を作っているのとほとんど何も変わらないが、ファイルの在処はファイル交換用ネットワークの「どこか」になるのだ。

この形にはいろいろなメリットがあるが、最大のメリットでありデメリットでもある点は、ファイルは「どこか」に存在する、即ち「どこにあるのかわからない」ということである。

一つのコンピュータをサーバーとして集積している場合、誰がいつアクセスしてファイルをそこに置いたか、誰かいつどのファイルをダウンロードしたのか、という事実は、サーバーに記録として残っている。それに対して、「どこにあるのかわからない」方式では、「誰が」「いつ」ということはわからないのだ。

そのために、多くのユーザーは「誰かに見られている」という感覚が皆無であり、ごく気軽に違法コピーを行い、ごく気軽に著作権違反のファイルをダウンロードするのである。

このような性質のソフトウエアが、こともあろうに組織内、企業内のネットワークに入っていたというわけだ。それが原因で漏洩につながってしまったのだ。

もっとも、直接の原因はそのファイル交換のネットワーク上で動く新種のウイルスである。ファイル交換ソフトウエアを使ってはいても、さすがに仕事上の重要なファイルを誰でもコピーできるようにしようとする人は居ないだろう。しかし、ウイルスがその代わりをやってくれるのだ。利用者のコンピュータの中にあるファイルを、勝手にファイル交換ソフトウエアのネットワークに乗せて「公開」してしまうのである。

ここまでお読みになればもうおわかりだろう。この事例での原因は、

  1. ファイル交換ソフトウエアのような、どう考えても業務上使う必要が無いソフトウエアを使わせていた
  2. ウイルス対策を怠っていた。あるいは怠っていたメンバーが居た

ということである。

原因がわかれば対策は簡単だ。

  1. 業務上必要無いソフトウエアは使わない。使わせない
  2. ウイルス対策を徹底する

ところが、この対策は実際にはそれほど簡単ではない。いや、それどころかセキュリティ対策のいろいろな側面を検討しなければならないため、難しいとすら言える。

まず、「コンピュータを使ってどのような業務をしているのか」ということをはっきりさせる必要がある。しかし、業務の内容は人それぞれ異なるし、例え業務が同じであっても今度は仕事のやり方が各人いろいろだったりもするはずだ。もしかしたら普通の人が思いつかないようなソフトウエアを入れて仕事の効率を上げているかもしれない。

「業務上必要ではないソフトウエアはAとBとCで、それ以外なら使っても構わない」というルールや基準を作るのであれば、そのような工夫をする余地もあるだろう。ところが、セキュリティのことを少し重めに考えなければならないようなときは、「業務上必須であるソフトウエアはAとBとCで、それ以外は使ってはいけない」というルールを作りたくなる。そういうときは、そのような工夫をする余地はなくなってしまうわけだが、それを会社・組織としてどう捉えて、どのようなルールにするのか決断していかなければならない。そしてこの整理が不十分になると、そこにセキュリティ上のギャップが生まれてしまう可能性があるのだ。これはなかなか厄介な作業と決断であろう。

四苦八苦してルールを定めることができたとしても、次はそのルールがちゃんと守られているかどうかチェックできなければならない。

簡単に「チェック」と言っても、単に抜き打ち検査するような方法から、監視・記録システムやソフトウエアを導入してばっちり監視する方法まで、いろいろな「チェック」がある。さらには、チェックした結果を誰に報告するのか、あるいは社内・組織内全体にに知らせるのか、違反者には罰則を科すのかなど、検討しなければならないことは多い。そして、理想的にはただでさえ忙しい現場に多数の追加手順を強いて反発を招くのではなく、負担を抑えてなおかつ実効あるルールとしたい。

たった一つのルールを作る場合でも、これだけのことを検討し、判断しなければならないのである。

そしてもちろん、そのルールだけではなく、(2)のウイルス対策に関しても、もういちど「徹底」する必要があるだろう。かりに対策していなければ対策しなければならない。

ルールをきっちり守っていればそれで良い、ということではなく、避けがたい人間のミスや未知の脅威などにそなえるためには多重の防御を考える必要があるだろう。


現実の事件はさらに複雑な要素が絡んでいる。同種の事件はいくつか起きているが、中には自宅のパソコンで仕事をしようとしたら、楽しみのために入れていたファイル交換ソフトが漏洩の原因となったというものもある。

自宅で仕事をすることが原因であれば、自宅で仕事をするな、という決定的なルールを定めれば良い。だが、現実に起きた事例の中でもそのようなルールを定めていたケースがあったが、それでもことは起きてしまった。ではなぜ起きてしまったのか?

自宅で仕事をするな、ということをルール化するならば、自宅で仕事をしなくても良いような仕事の振り方をする、というのが前提条件になる。この条件がクリアできないのに、単に「するな」と命じるということは、即ち「ルールでは自宅での仕事を禁ずるが、間に合わなければルールを破ってでも仕事しなさい。ただしあなたのリスクで」ということを意味する。これはどう考えても理不尽であろう。

といって自宅で仕事をしなくても良いようなスケジュール、量で仕事を振る、ということがほんとうに可能だろうか?もちろんそれができれば理想的だが、管理職もそこまでは見切れない、と考える方が現実的であろう。体調や家庭の事情まで承知して仕事を振り、無理なら柔軟に対応する……と言葉で書くのは簡単だが、仮に8割くらい実現できていたとしても、できていない残りの2割が漏洩の原因となってしまったりすることも多い。

ではいったいどうすればいいのだろうか?

対策として考えられるのはおそらく以下のようなものだろう。

  1. 遅くまで残業しても、帰ることができる足を確保する(「時間切れなので続きは家で」への対策)
  2. 残業代をしっかり支払う(「どうせ残業代が出ないのなら家で」への対策)
  3. 作業量を調節し、特定個人に依存しないようにする
  4. そもそも無理があるスケジュールにせず、いろいろ重なって無理が出てきたら増員や延期などで対応する
  5. アクセス制御するソフトウエアなどを使って、ファイルなどを容易に持ち出せないようにする
  6. 家や外出先で、少なくとも重要なファイルを取り扱う仕事をしてはいけない、というルールにする

これらはすべて「家(や外出先、出張先など)で仕事をしなくても良いようにする、あるいは仕事させないための対策である。家や外出先などで仕事をする要因を取り除くのはこれだけ難しいのだ。

ではいっそ、家や外出先で仕事をしても良い、ということにしてしまってはどうだろうか。

そのためには、社内や組織内という、いわば安全に保護されたエリアを出て仕事をするための環境整備が必要だ。それにはやはり、自宅の個人ユースのパソコンなどを使うことはできないだろう。個人の楽しみや趣味の部分でのリソースを業務に使う、ということ自体が自己矛盾しているばかりか、リスクも増えるからだ。

となると、会社のコンピュータを持ち出せるようにしなければならなくなるだろう。それは例えばノートパソコンなどである。

ノートパソコンを持ち出す場合、以下の二点を考える必要がある。

  1. 安心できない環境で使ったとしても安全を確保できるか
  2. 万一紛失した場合でも、中身を読むことは(許容できるレベルで)困難になっているか

このあたりの詳しいことはこの連載の第一回で触れたが、(1)は要するに「動かしている、使っているときのセキュリティ対策」であり、ウイルス対策やパーソナルファイアウォール、OSへのパッチ当て(セキュリティ上の欠陥を補完すること)などのごく基本的な対策をしっかり行うことである。もちろん、使うときのOS上の使用権限を絞り、Winnyに代表されるようなソフトウエアを入れさせないようにしておくことも重要だ。

そして(2)は、ファイルの暗号化などを用いて、たとえハードディスクを取り外されて読み込まれたとしても(この場合、パスワードは意味をなさなくなる)、かなりの時間や手間をかけないと中身が読めない状態にしておくことなどである。

さらに付け加えるならば、

  • ノートパソコンに載せて持ち出しても良い情報と、そうではない情報を選り分ける
  • ノートパソコンを使える人を限定し、利用者として適切なセキュリティの知識を持っていることを前提とする(組織内で偉いかどうかというのとは別にするのが望ましい)

ということも、条件としては必要となるだろう。特に人の面で「持ち出し資格」を設定するというのは、教育的効果や宣伝効果、そして資格が無い人が隠れて持ち出す場合の心理的抑止効果も期待できる。

「会社以外で仕事をさせない、しなくても良いようにする」というのと、「会社以外でもある程度は安全に仕事できるようにする」というのでは、読者のみなさんの会社にはどちらが合っているだろうか?

いずれにしても、単にWinnyに代表されるファイル交換ソフトウエアを使うな、と言うだけではなく、これだけの検討を行うべきであり、その検討が抜けてルールだけを現場に押しつけていたとしても、リスクは十分に低減できないだろう。事例を見るとセキュリティのルールも存在したし、それなりに対策していたケースもあったようだ。しかし、結局のところ漏洩してしまっていて、その原因がルール違反や管理ミスであったということは、検討が足りていない部分があったと言わざるを得ないだろう。

*1:最初の連載記事がまだ終わっていないのに、また別の「連載」だよ(笑)。こちらも日本生命の企業向け広報誌に載せたヤツの一部です。Winny好きなあなたに贈りますヽ(´ー`)ノ

2006-03-06 Havana/Word Of Mouth Revisited

[][]ノートパソコンの漏洩対策その1*1

減らない漏洩事件

個人情報保護法が完全施行されたが、漏洩事件はいっこうに減らないようだ。ノートパソコンの「紛失」もあいかわらず多いし(「紛失」と言っているのも本当に紛失したものばかりなのだろうか?)、全国各地で同じようなミスが続いている。

基本的に漏洩事件の原因はミスが多い。

日本ネットワークセキュリティ協会(JNSA)の調べによると、漏洩事件の原因の半分以上はミスである。ノートパソコンのようにどこでも使えるモノをどこででも使った挙げ句に、帰り道網棚に置き忘れたり、置き引きにあったりしてしまう、というわけだ。

その一方で、ノートパソコンに対して何らかのセキュリティ対策を新たに導入した、という企業は増えていないらしい。個人情報保護法施行後、どこまで対策が進んだのか、という出版社のアンケート調査によれば、あれほど多くの事件がノートパソコンに絡んで発生しているのに、特に対策していない企業は驚くほど多い

これでは事件が減らないのも無理はない。

しかし、実際のところどうなのか見るために、これまで起きている情報漏洩事件の原因をざっと眺めてみると、やはり目に付くのはノートパソコンの管理ミスだ。

営業ツールとしても、自宅でやり残した仕事を片づけるときも、出張するときもノートパソコンは重宝する。それだけに安易に持ち出したりしがちになり、そこで紛失や置き引きという結果になってしまうことも多い。

漏洩対策の整理

ではどのようにノートパソコンのセキュリティ対策、漏洩対策について検討、導入すればいいのだろうか?

まずはたくさんありすぎてどれから手を付けたらいいかわからない情報セキュリティ対策、漏洩対策について、整理してみることから始めてみよう。本稿では、漏洩対策を「予防策」と「事後対策」の大きく二つに分類してみることにしよう。

「予防策」とは文字通り、漏洩をさせないことを目的とする対策である。情報の取り扱いルールを決めたり、いわゆる「漏洩防止」目的と言われるソフトウエア、例えば利用者の利用記録を細かく残すソフトウエアや、利用者のパソコンの機能を制限するようなソフトウエアを導入したりすることが予防策である。

一方、「事後対策」は漏洩してしまった後の対策である。例えば個人情報のファイルを暗号化しておき、ノートパソコンごと紛失したとしても解読されないようにしておく、などというものがそれにあたる。広い意味で言えば、漏洩した後に監督官庁にどのような報告を行うか、お客様にどうお知らせするか、メディア対策はどうするのか、といったあたりも「事後対策」に含まれるだろうか。

理想的には「予防」と「事後」の両方で対策をしておきたい。なぜなら「予防」は行ったとしても完璧ではありえないし、といって大事な情報だからといって誰にも見せずに業務はできないからだ。

とはいえ、どちらかといえば「予防」をどうやって行うか、ということをまず考えるべきだろう。なぜなら、予防策をいくつか講じることで、「事後」対策が必要になる可能性を下げることができるからだ。これに対してただ単に記録を取っておいて、文字通り事件が起きた後で記録を解析して原因(犯人)を特定する、というような事後対策では、心理的抑止効果を期待できたとしても可能性自体を下げることは出来ない。

まずは「事故」「事件」発生の可能性を下げることから検討していくべきであろう。

*1:あまりに世の中のノーパソ管理だめだめなので(苦笑)、以前日本生命さんの企業向け広報誌に掲載したものを、編集部のご厚意により少しリライトして公開することにしました。かなり一般向けを意識して書いています