Web教材一覧情報倫理・セキュリティ

パソコンのセキュリティ管理

ここでのパソコンとは、パソコンだけでなくスマートフォンやタブレットなどの端末機器、さらにはUSBメモリなど持ち運びのできる記録媒体も含みます。
 近年はモバイル環境でのパソコン利用が一般的になりました。それに伴い、重要情報の社外持ち出し、パソコンの紛失や盗難による情報の流出など、セキュリティリスクが増大しています。個々のセキュリティ対策に関しては他章でも取り扱っていますが、本章ではトピックス的に概要を示します。

キーワード

パソコンの紛失・盗難・廃棄、シンクライアント、TPM、MDM、BYOD、検疫ネットワーク、シャドーIT、CASB


パソコン紛失などの危険性と対策

パソコンの紛失などよる情報流出

モバイルパソコン、タブレット、スマートフォン、USBメモリなどをオフィス外に持ち出す機会が増大してきました。そこには業務情報だけでなく、業務情報アクセスする社内LANに接続情報などが入っています。紛失や盗難により、第三者にそれらの情報が漏洩する危険性が増大しています。

廃棄時の注意

パソコンの廃棄時にも同様な危険性があります。重要なのはHDDに保管されている情報を完全に抹消することです。
 最も安全なのは、HDDをハンマーなどで物理的に破壊することですが、ここでは。HDDを再利用することを考慮して、ソフトウエア的に情報を抹消する手段を対象にします。

パソコンで「削除」操作をしても、それらの情報が消去されるのではなく、その領域の占有情報を解除して再利用できる状態にするだけです。不注意で削除したファイルを再生するツールもあるように復元できます。
 また、上書込みにより書き換えたつもりでも、前の情報が残っていることがあり、それを取り出すこともできます。
 同様に、HDDの論理フォーマットをしただけでは復元できます。

データ消去用ソフトウェアがあります。代表的な手段は、HDDの全領域にランダムな値を書き込んだり、暗号化を数回繰り返したりします。

パワーオンパスワード

パソコンに電源投入後にパスワードを入力しないとOSが起動できない仕組みです。パソコンが盗難にあっても、パスワードを知られないと使えません。この方法は一般に採用されており、オフィスでも離席時に他人に使われないようにしています。

ハードディスクパスワード

パワーオンパスワードを設定していても、ハードディスクを取り出して他のパソコンに接続すれば読まれてしまいます。それを防ぐために、パスワードを設定したパソコンでなければハードディスクを認識できなくすることができます。パワーオンパスワードと併用するひつようがあります。

暗号化

最も基本的な対策は、パソコン等に保存されている情報を暗号化することです。紛失や盗難にあっても、第三者に内容を知られることがありません。

シンクライアント/セキュアPC

そもそもパソコンにデータやソフトウェアをもつからこのような危険性があるのです。すべてのデータやソフトウェアをサーバに置き、パソコンにはサーバにアクセスして結果を表示できる機能(Webブラウザ)だけをもてばよいことになります。また、USBメモリやDVDなどの記憶媒体のための接続機器も不要です。
 このように機能を絞った仕様のパソコンをシンクライアントといいます。また、セキュリティを重視したシンクライアントをセキュアPCといいます。→参照:「シンクライアント」

TPM

TPM(Trusted Platform Module)は、セキュリティチップともいいます。多種多様な暗号アルゴリズムの処理をチップ内で行う機能を持つLSIチップで、外部から内部の情報の取出しを困難にすることができます。パソコンのマザーボードに装填されます。

TOG(Trusted Computing Group)策定の標準仕様に従い、公開鍵暗号(RSA)演算と鍵生成、SHA-1のハッシュ値演算、乱数生成、デジタル署名生成の機能があります。生成した鍵や演算で得たハッシュ値などの値はTPM内に保持している不揮発性メモリに保存しておくことができ、そのメモリ部分には外部機器からアクセスはできません。つまりこのチップ内で安全に暗号化・復号、デジタル署名の生成・検証と鍵の管理を行うことができるということです。
 OSや他のハードウェアから独立して機能するため、外部からの攻撃にも強く、しかも、機器からそのデバイスを取り出し、暗号鍵などを読み取ろうとすると物理的に破損してしまう耐タンパー性をもっています。

TPMを装備することにより、個々のソフトウェアが暗号ライブラリを負担する必要が大幅に減少します。盗難などの場合でもパソコン内部じょ情報漏洩を防ぐことができます。
 企業向けモデルのノートパソコンなどには標準装備されていますが、通常のパソコンにほ普及してきました。特に近年はIoTのCPUへの装備が注目されています。

BitLockerは、Windows が持つ機能で、TPMの暗号化機能の一部を使って、HDDやSSD、USBメモリなどのデータの暗号化を行うものです。

モバイル管理ツール

EMM(Enterprise Mobility Management)

EMMは、社員が社外や自宅でパソコンやスマートフォンを活用する状況において、それらの情報機器を遠隔地(管理部門)から統合的に管理するシステムです。
 以下のMDM、MAM、MCMを統合したものです。

MDM(Mobile Device Management)

MDMとは、社員が携帯する法人貸与の情報機器を遠隔地(管理部門)から統合的に管理するシステムです。

MAM(Mobile Application Management)

MAMは、主にBYOD機器を対象にした管理手法です。
 機器を仮想的に「業務用区画」と「私用区画」に分離、互いに影響しないようにします。MAMは、業務用区画だけを管理対象にします。例えば業務用区画のデータ通信のみ暗号化することで、BYODの利便性と安全性を高めています。
 アプリ・データの利用制限。業務用区画のデータコピーの制限や、遠隔操作によるアプリやデータの消去機能によって、安全な利用をサポートしています。

MCM(Mobile Contents Management)

業務で利用するコンテンツ(主に業務用のデータ)の安全かつ効率的な活用をサポートします。
  ・サーバやクラウド上にあるデータへのアクセス権を管理
  ・モバイル端末上にデータが残らないように制御

パーソナルファイアウォール

自宅でインターネットにブロードバンドに常時接続している個人ユーザを対象にしたファイアウォール。機能は限定されているが、OSやアンチウイルスソフトに標準的に装備されていたり、低価格な製品が提供されています。このソフトウェアをノートパソコンに取り込むことにより、モバイル環境でも利用できます。


私物パソコンの企業内利用

私物パソコンの利用禁止

私物パソコンにはウイルスが潜んでいるかもしれず、企業に持ち込んでLANに接続したら多くの社内パソコンに伝染してしまいます。近年の大規模な事件では、USBメモリに潜んだウイルスが、社外とのネットワークから遮断されている社内中枢のシステムに侵入した手口が多くなってきました。

業務情報をUSBメモリにコピーして自宅のパソコンに入れて作業をすることがよくあります。そのとき、私物パソコンにファイル交換ソフトがインストールされており、業務情報がインターネットに漏洩した事件が多くあります。→参照:「ファイル交換ソフトのウイルス」
 このように、企業が認めていない情報機器やITサービスを、部署や従業員が勝手に業務で利用する行為や状態をシャドーITといいます。

BYOD(Bring Your Own Device)

BYODとは、従業員が私物端末を企業内に持ち込んで業務に活用することです。従来は私物の利用を禁止する傾向が強かったのですが、近年は私物のスマートフォンやタブレットを業務用に積極的に利用しようという傾向に変化してきました。

検疫ネットワーク

検疫ネットワークとは、正規の社内LANと隔離したネットワークで、これにパソコンを接続するとパソコン内を検査してウイルス等の有無をチェックする機能をもっています。
 私物のパソコンや外出先で用いたパソコンにはウイルス等が入っている危険性があります。それを社内LANに接続しようとすると、強制的に検疫ネットワークに接続されます。安全が確認されると自動的に正規の社内LANに接続され、問題のあるパソコンは接続できないようにします。

この機能は、ウイルスの発見だけでなく、ウイルス対策ソフトの更新を自動的に行うとか、セキュリティ以外での社内システムに関係するパソコン側ソフトウェアのバージョンアップ自動化にも応用できます。そのため、私物以外のパソコンでも、各人が出社して電源を入れるときに、検疫ネットワークへ接続する仕組みにすることもあります。

COPE(Corporate Owned, Personally Enabled)

BYODが個人の情報機器を社用に用いるのに対して、COPEは企業が社員に貸与して利用すること。認められた範囲では私用を認める場合もあります。

シャドーIT

シャドーITとは企業の承認を受けていないIT機器の持ち込みやクラウドでの各種サービスを使用することです。これはセキュリティ上、大きな脅威になります。

クラウドサービスは、クラウドストレージやクラウドコンピューティングなどが急速に普及し、業務目的の利用にも便利な機能が増大してきました。社員は、業務の効率化や高度化の手段として、善意からこれらの利用をしたいと思います。
 これらのサービスは、通常は、個人用には無料、法人用には有料のサービスを提供しています。社員は、無料サービスに加入して、個人目的でも使いこなしていますが、企業は法人用サービスに加入していないことがります。社員にとっては、企業に加入を提言するよりも、自分の加入するサービスで業務を行うほうが簡単です。
 しかし、これらのサービスは、法人用では高度なセキュリティ対策をしているのに対して、個人用では無料のこともあり法人用より弱いのが通常です。それで、業務用のファイルを、個人用のサービスに保存することで、情報漏洩の原因になる可能性があります。

社員は業務改善のために利用しているのですから、単に利用禁止したり後述の監視機能を採用したりするのは不適切です。また、多数の社員が多様なサービスを利用しているときは、それぞれのサービスに法人として加入するのも無駄でしょう。
 社員のニーズを調査して、適切なサービスを採用し利用環境を標準化すること、余裕があれば自社業務に合わせたインタフェースを開発すれば、社員・企業双方にとって効果がありましょう。

CASB(Cloud Access Security Broker)

クラウドサービスでの監視システムです。インターネットでのプロキシサーバのように、利用IT機器とクラウドサービスの間に配置することで、クラウドへのアクセス内容をCASBが取得し、セキュリティポリシーを一元管理・適用します。
 認証やアクセス制御、データ暗号化、マルウェア対策など、クラウドサービスを利用する上で必要となるセキュリティ対策を一元管理し、セキュリティポリシーに反する通信を遮断することが可能です。


本シリーズの目次へ