 |
 |
|
■ 第297回 ■
|
個人情報保護法が施行されてからというもの、仕事道具として使われている個人所有のノートPCが、改めてセキュリティホールとして話題にのぼっている。もちろん、個人所有ではなくとも、会社から支給されているノートPCでも同じ事だ。
しかし企業システムの一部として導入されているPCは、クライアント/サーバシステムの中でガチガチにセキュリティを固め、安全な(しかしきわめて不便な)運用を強いることで、ある程度は(完全ではない)管理することができる。
だが、そもそも従業員が個人で所有しているPCを社内に持ち込み、仕事道具として使うことを認めている企業の場合、そこまでの厳密な管理を行なっている事はほとんどないはずだ。たとえPCの利用を申告制にしたとしても、個人所有のPCに対して管理者がBIOS呼び出しやパワーオン時などの各種パスワードを設定するといった部分まで、目を行き届かせることはできない。
また、管理している、していないに関わらず、多くの企業が社内情報の運用ルールとして、一切の複製、持ち出しを厳禁するようルールを変えてきているところも少なくないという。
●PCは便利な道具か、便利すぎる道具か
昔からよく言われることだが、PCにおいて便利な機能の多くはセキュリティホールやバグの温床になりやすい。逆に安全なコンピューティングを求めると、究極的にはPC本来の“ツール”としての便利さを失わせるほど、まったく詰まらない機械に成り下がってしまう。
冒頭の話で言えば、本来なら個人情報保護法から来ている運用の見直しなのだから、個人情報の持ち出しに関して、厳密な管理を行なえるように工夫をすべきだろう。ところが、実際にはあらゆる情報の持ち出しを制限する方向で、運用の見直しをはかる企業が多いのだそうだ。
よくわからないが、ノートPCの盗難やUSBメモリによる情報持ち出しに対して怖いから、とりあえず情報の持ち出しはやめさせよう。全部持ち出さなければ、全部複製を作らせないようにすれば、情報が盗まれる危険性は激減する。
PCはパーソナルな用途でも、企業内の用途でも、道具として使いこなせばとても便利なものだ。しかし、個々のユーザーの使いこなしをコントロールできない以上、組織を運営している側から見ると、ユーザーすべての行動を把握しきれないリスキーなデバイスと見えてしまう。便利な道具を超えて、便利すぎる道具といったところか。
だが、あまりに運用の制限を加えすぎると、PCが本来持っているハズのツールとしての良さが消えてしまう。
今さら言うまでもないだろうが、情報処理技術にはさまざまな側面がある。定型業務を粛々と、そして効率よく進めていくための道具としてコンピュータを使うのであれば、ユーザーに対する自由度の高さは邪魔になる事が多い一方でプラス面はほとんどない。しかし、それでは汎用機のダム端末と同じだ。
パーソナルコンピュータは、もっと個々のユーザーが持つ力を引き出すためのツール“でも”あるべきだろう。もちろん、それが必要な従業員に対してのみ与えられる(あるいは持ち込みを許可する)ものであったとしてもだ。ユーザー自身の自主性を軽く見ていては、ユーザーの自由な発想や自ら工夫しての仕事の進め方、情報の集め方などを制限してしまう事になる。
要はバランスだと思うのだ。PCのユーザーから自由を奪うだけではマイナス面も大きすぎる。何でも禁止すればいい、という発想から抜け出して、柔軟にどのような運用がベストかを考えるべきだろう。
●デジタル家電にも及んだセキュリティ問題
実は同じような傾向は、企業の情報システムだけで起こっているわけではない。
昨年、東芝のハイブリッドレコーダRDシリーズをインターネットからアクセス可能な状態にしておくと、Blogのコメントスパムの踏み台として利用されてしまう、という問題が発生した。
RDシリーズのうちネットDEナビを持つ機種が、Web番組表と連携してブラウザからの予約を簡単に実行できるよう、レコーダ本体にWebプロクシの機能を持たせていたからだ。ポートスキャンでWebプロクシとして判断され、踏み台として利用されたわけだ。
この問題に対する対処は、Webプロクシとして簡単に使われないよう、きちんとカギを掛ける仕組みを組み込み、デフォルトでオンにしておく。あるいは、パケットの寿命(TTL)を意図的に短くしておいて、インターネットからはアクセスできないようにしておくことなどで対処できるハズだった。
ところが企画担当者が上司から申し渡されたのは、もっともっとユーザーに不便を強いるものだったという。
僕自身はネットDEナビを搭載しているレコーダを所有していないが、東芝の担当によると「イーサネットに接続してもデフォルトではIPアドレスを取得してはいけない」という仕様で統一されるようになり(既に既存製品で実装済み)頭を抱えているという。
確かにIPアドレスをもらわなければ、そもそもネットワークにはつながらないのだから、安全と言えば安全。だが、担当者自身が悩んでいるように“なんでもかんでもオフっておけ”というのは、家電製品を作る側にとって頭の痛い要求だろう。ネットDEナビはRDシリーズが持つ機能の中でも、特に他社と比較した場合のアドバンテージが大きな部分だけに、企画担当者は悔しいに違いない。
●エンドユーザーが自分自身で管理できるように
さて、話をPCに少し引き戻そう。
なんでもかんでも持ち出しを禁止すればいい、という考え方は、さすがに誰もが不便と感じるものだ。ではどうすれば良いのか、ということで、企業向けに個人情報漏洩を防ぐためのシステムが提案されている。
たとえば日本のKLab(クラブ)株式会社が開発した「P-Pointer」というツールはなかなか興味深い。社内で扱われている情報(サーバやクライアントPC内のHDDをスキャン)の中から個人情報を探索/特定し、個人情報が含まれいていると推定されるファイルの所在と、おおよその量をレポートするというツールだ。WordやExcelなどのソフトウェアにも対応する。
米Watch GuardはKLabと提携し、それら個人情報を含んでいると推察されるファイルの外部流出を防止する「P-Pointer for Watch Guard」を共同開発し、7月中にもリリースするという。29日から「情報セキュリティエキスポ」が東京ビッグサイトで開催されているが、似たような目的の製品も今後増えてくるだろう。
こうしたシステムを真っ先に入れようという企業からは、それほど簡単に情報は漏れないものだが、世の中の企業は実に多彩でセキュリティ管理の甘い会社も少なくない。それに、結局のところほとんどケースにおいて、セキュリティの強さはユーザーのモラルと運用形態に依存する。
自分自身が情報漏洩元になりたくないのであれば、エンドユーザー自身が情報の管理をきちんと行なうべきだろう。社外秘の情報は必ず暗号化しておく。パスワードは他人にわかりにくいものにしておく。スクリーンセーバパスワードなどを活用する。BIOS呼び出しやHDDのパスワードは必ず設定しておく。できればマイドキュメント以下はすべて暗号化しておく、などなど。
企業ユーザー、個人ユーザーといった区別はこの際は関係ない。自分自身のために、自分のパソコンで管理している情報の運用をきちんと行なう。運用でカバーできる範囲のセキュリティ対策は、慣れてくるとさほど利用者に苦痛を求めない。
 |
| セキュリティチップを搭載した「ThinkPad X41 Tablet」 |
現時点でセキュリティチップの機能を積極的にエンドユーザーに使わせようと、ユーザーへの見え方などに工夫していると感じるのは、レノボ、東芝、富士通の3社。この中でもレノボのセキュリティ対策ソフトウェアは、わかりやすさや個人レベルでの運用のしやすさでもっとも進んでいる。
企業向けのメッセージばかりに集中しがちなモバイルPCのセキュリティ対策だが、PCを使う個々のユーザーが、自ら安全に運用する仕組みを提供することも大切。データを直接扱っているのはエンドユーザーなのだから。
□情報セキュリティEXPOのホームページ
http://www.i-security.jp/
□KLabのホームページ
http://www.klab.org/
□レノボのセキュリティソリューション情報
http://www-6.ibm.com/jp/pc/security/index.shtml
□東芝のセキュリティソリューション情報
http://dynabook.com/pc/business/t_origin/t_secur/top.htm
□富士通の企業向けノートPCセキュリティソリューション情報
http://www.fmworld.net/biz/fmv/product/feature/security_lb.html
(2005年6月30日)
[Text by 本田雅一]
【PC Watchホームページ】
PC Watch編集部 pc-watch-info@impress.co.jp ご質問に対して、個別にご回答はいたしません
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.