Web教材一覧情報倫理・セキュリティ

パソコンのセキュリティ管理

ここでのパソコンとは、パソコンだけでなくスマートフォンやタブレットなどの端末機器、さらにはUSBメモリなど持ち運びのできる記録媒体も含みます。
 近年はモバイル環境でのパソコン利用が一般的になりました。それに伴い、重要情報の社外持ち出し、パソコンの紛失や盗難による情報の流出など、セキュリティリスクが増大しています。個々のセキュリティ対策に関しては他章でも取り扱っていますが、本章ではトピックス的に概要を示します。

キーワード

バックアップ、回復ドライブ、システムイメージバックアップ、パソコンの紛失・盗難・廃棄、シンクライアント、TPM、MDM、BYOD、検疫ネットワーク、シャドーIT、CASB


パソコンのバックアップ

システムのバックアップ

システムのバックアップでは、OS標準装備の機能を用いるのが一般的です。

回復ドライブ

購入初期の状態のシステムをUSBメモリなどに保管して。OSが起動しないなど根本的なトラブルが発生したとき、この回復ドライブを用いて購入初期の状態に戻すことができる操作です。
 しかし、ここで保存回復できるのは、OSなどのごく一部の重要なデータだけで、通常のソフトウェアやデータは対象になりません(復元時には失われてしまいます)

PC購入してセットアップする段階で回復ドライブ作成プロセスが自動で起動するので、それに従って作成します(購入時に回復ドライブが入ったDVDが添付されていることもあります)。しかし、OSの最新バージョンに対応するためには、稼働後でも適当な時期に回復ドライブを作成するのが適切です。

システムイメージバックアップ

基本的には内蔵ディスクの全データをバックアップします。バックアップは定期的に自動化できるし、随時に手作業でもできます。また、指定したバックアップ時点まで遡ってリカバリできます。
 バックアップ先は、内蔵ディスクの一部を指定できるし、外部ディスクも指定できます。 しかし、大量になるので、次のような機能が付加されています。

自作データのバックアップ

自分が作成したりインストールしたデータやアプリケーションのバックアップです。非常に大量なファイルがあり、それぞれ重要性や管理ニーズが異なるので、システムデータとは異なる対策が必要になります。例えば、次のようなデータでは、重要性の確保とコスト・労力のバランスは大きく異なります。

バックアップ場所の観点では、
 ・自分所有の外部ストレージへのバックアップ
 ・クラウドバックアップ
があります。

クラウドバックアップとは、基本的には自分のパソコンにあるデータを外部のクラウド環境にバックアップするとです。単にバックアップ機器の節約、パソコン故障への対策だけでなく、クラウド提供者による多様なサービスが受けられます。→参照;個人向けクラウドサービス

パソコン紛失などの危険性と対策

パソコンの紛失などよる情報流出

モバイルパソコン、タブレット、スマートフォン、USBメモリなどをオフィス外に持ち出す機会が増大してきました。そこには業務情報だけでなく、業務情報アクセスする社内LANに接続情報などが入っています。紛失や盗難により、第三者にそれらの情報が漏洩する危険性が増大しています。

パワーオンパスワード

パソコンに電源投入後にパスワードを入力しないとOSが起動できない仕組みです。パソコンが盗難にあっても、パスワードを知られないと使えません。この方法は一般に採用されており、オフィスでも離席時に他人に使われないようにしています。

ハードディスクパスワード

パワーオンパスワードを設定していても、ハードディスクを取り出して他のパソコンに接続すれば読まれてしまいます。それを防ぐために、パスワードを設定したパソコンでなければハードディスクを認識できなくすることができます。パワーオンパスワードと併用するひつようがあります。

暗号化

最も基本的な対策は、パソコン等に保存されている情報を暗号化することです。紛失や盗難にあっても、第三者に内容を知られることがありません。

シンクライアント/セキュアPC

そもそもパソコンにデータやソフトウェアをもつからこのような危険性があるのです。すべてのデータやソフトウェアをサーバに置き、パソコンにはサーバにアクセスして結果を表示できる機能(Webブラウザ)だけをもてばよいことになります。また、USBメモリやDVDなどの記憶媒体のための接続機器も不要です。
 このように機能を絞った仕様のパソコンをシンクライアントといいます。また、セキュリティを重視したシンクライアントをセキュアPCといいます。→参照:「シンクライアント」

パソコン廃棄時のデータ消去

パソコンの廃棄時にも同様な危険性があります。重要なのはHDDに保管されている情報を完全に抹消することです。
 最も安全なのは、HDDをハンマーなどで物理的に破壊することですが、ここでは。HDDを再利用することを考慮して、ソフトウエア的に情報を抹消する手段を対象にします。

論理フォーマット

多くの記憶媒体は、ファイル管理システムにより管理されています。単純には実際にファイルが格納されている領域と、どのファイルがどの領域に格納しているかなどの管理情報を格納している管理領域があります。ファイルをアクセスするときは、管理領域により該当するファイルの格納場所を取得することになります。
 論理フォーマットとは、管理領域とデータ領域の対応をクリアするものです。通常の「削除」操作や「フォーマット」操作は論理フォーマットです。

論理フォーマットにより、ファイル管理システム上では該当ファイルが存在しないことになり、ファイルにアクセスできなくなります。その領域は論理的には空領域となり、他のファイルを書き込めるようになります。
 しかし、該当領域が物理的に消去されるのではなく、データそのものは残っています。そのため、何らかの手段を講じることにより、ファイル内容を復元することができるのです。

データ消去ソフトウェア

データ消去ソフトウェアは、データを完全に消去し、あとから復元できないようにするための専用ツールです。

消磁方式(磁気消去)
専用装置により、強力な磁気を照射することにより、データや磁化パターンを完全に消去します。これによりHDDとしての再利用はできなくなります。HDDのような磁気記録媒体に使えますが、SSDやUSBメモリなど磁気以外の記録媒体には使えません。
上書消去方式
全てのデータ領域を、1や0、乱数文字などを上書きしてデータを消去する方式です。すべての記憶媒体に利用できます。
上書き回数が大ならば消去が十分に行われますが時間がかかります。上書き技術の発展により、現在では1回でよいものもあります。
  • グートマン方式:初期の代表的な方式で35回の上書きをします。
  • 上書き3回の方式には、DoD 5220.22-M 米国国防総省方式、AR380-19 米陸軍方式などがあります。
  • SP 800-88 Rev.1 NIST勧告方式
    機密性の程度により、3レベルを設定しています。
     Clearレベル:一般に流通している復元ツールで復元不可能にする
     Purgeレベル:高度な復元ツールでも復元不可能にする
     Destroyレベル:破壊など物理的手段で復元不可能にする
Secure Erase
HDDやSSDなどATA規格準拠の記憶媒体自身がが自己初期化機能(工場出荷時の状態にする)を持つようになりました。極めてレベルが高い消去を実行できるといわれています。
特にSSDやフラッシュメモリでは、書込回数に限りがあるため、ディスク領域全体を均一に使用する機能を持ちます(ウェアレベリング機能)。そのため、使用頻度が少ない領域が優先して使用され、上書きを行っても実際には上書きできない領域領域が発生する可能性があります。Secure Eraseではウェアレベリング機能を解除してから書き込みを行ない、このような問題を解決できます。

TPM

TPM(Trusted Platform Module)は、セキュリティチップともいいます。多種多様な暗号アルゴリズムの処理をチップ内で行う機能を持つLSIチップで、外部から内部の情報の取出しを困難にすることができます。パソコンのマザーボードに装填されます。

TOG(Trusted Computing Group)策定の標準仕様に従い、公開鍵暗号(RSA)演算と鍵生成、SHA-1のハッシュ値演算、乱数生成、デジタル署名生成の機能があります。生成した鍵や演算で得たハッシュ値などの値はTPM内に保持している不揮発性メモリに保存しておくことができ、そのメモリ部分には外部機器からアクセスはできません。つまりこのチップ内で安全に暗号化・復号、デジタル署名の生成・検証と鍵の管理を行うことができるということです。
 OSや他のハードウェアから独立して機能するため、外部からの攻撃にも強く、しかも、機器からそのデバイスを取り出し、暗号鍵などを読み取ろうとすると物理的に破損してしまう耐タンパー性をもっています。

TPMを装備することにより、個々のソフトウェアが暗号ライブラリを負担する必要が大幅に減少します。盗難などの場合でもパソコン内部じょ情報漏洩を防ぐことができます。
 企業向けモデルのノートパソコンなどには標準装備されていますが、通常のパソコンにほ普及してきました。特に近年はIoTのCPUへの装備が注目されています。

BitLockerは、Windows が持つ機能で、TPMの暗号化機能の一部を使って、HDDやSSD、USBメモリなどのデータの暗号化を行うものです。

モバイル管理ツール

EMM(Enterprise Mobility Management)

EMMは、社員が社外や自宅でパソコンやスマートフォンを活用する状況において、それらの情報機器を遠隔地(管理部門)から統合的に管理するシステムです。
 以下のMDM、MAM、MCMを統合したものです。

MDM(Mobile Device Management)

MDMとは、社員が携帯する法人貸与の情報機器を遠隔地(管理部門)から統合的に管理するシステムです。

MAM(Mobile Application Management)

MAMは、主にBYOD機器を対象にした管理手法です。
 機器を仮想的に「業務用区画」と「私用区画」に分離、互いに影響しないようにします。MAMは、業務用区画だけを管理対象にします。例えば業務用区画のデータ通信のみ暗号化することで、BYODの利便性と安全性を高めています。
 アプリ・データの利用制限。業務用区画のデータコピーの制限や、遠隔操作によるアプリやデータの消去機能によって、安全な利用をサポートしています。

MCM(Mobile Contents Management)

業務で利用するコンテンツ(主に業務用のデータ)の安全かつ効率的な活用をサポートします。
  ・サーバやクラウド上にあるデータへのアクセス権を管理
  ・モバイル端末上にデータが残らないように制御

パーソナルファイアウォール

自宅でインターネットにブロードバンドに常時接続している個人ユーザを対象にしたファイアウォール。機能は限定されているが、OSやアンチウイルスソフトに標準的に装備されていたり、低価格な製品が提供されています。このソフトウェアをノートパソコンに取り込むことにより、モバイル環境でも利用できます。


私物パソコンの企業内利用

私物パソコンの利用禁止

私物パソコンにはウイルスが潜んでいるかもしれず、企業に持ち込んでLANに接続したら多くの社内パソコンに伝染してしまいます。近年の大規模な事件では、USBメモリに潜んだウイルスが、社外とのネットワークから遮断されている社内中枢のシステムに侵入した手口が多くなってきました。

業務情報をUSBメモリにコピーして自宅のパソコンに入れて作業をすることがよくあります。そのとき、私物パソコンにファイル交換ソフトがインストールされており、業務情報がインターネットに漏洩した事件が多くあります。→参照:「ファイル交換ソフトのウイルス」
 このように、企業が認めていない情報機器やITサービスを、部署や従業員が勝手に業務で利用する行為や状態をシャドーITといいます。

BYOD(Bring Your Own Device)

BYODとは、従業員が私物端末を企業内に持ち込んで業務に活用することです。従来は私物の利用を禁止する傾向が強かったのですが、近年は私物のスマートフォンやタブレットを業務用に積極的に利用しようという傾向に変化してきました。

検疫ネットワーク

検疫ネットワークとは、正規の社内LANと隔離したネットワークで、これにパソコンを接続するとパソコン内を検査してウイルス等の有無をチェックする機能をもっています。
 私物のパソコンや外出先で用いたパソコンにはウイルス等が入っている危険性があります。それを社内LANに接続しようとすると、強制的に検疫ネットワークに接続されます。安全が確認されると自動的に正規の社内LANに接続され、問題のあるパソコンは接続できないようにします。

この機能は、ウイルスの発見だけでなく、ウイルス対策ソフトの更新を自動的に行うとか、セキュリティ以外での社内システムに関係するパソコン側ソフトウェアのバージョンアップ自動化にも応用できます。そのため、私物以外のパソコンでも、各人が出社して電源を入れるときに、検疫ネットワークへ接続する仕組みにすることもあります。

COPE(Corporate Owned, Personally Enabled)

BYODが個人の情報機器を社用に用いるのに対して、COPEは企業が社員に貸与して利用すること。認められた範囲では私用を認める場合もあります。

シャドーIT

シャドーITとは企業の承認を受けていないIT機器の持ち込みやクラウドでの各種サービスを使用することです。これはセキュリティ上、大きな脅威になります。

クラウドサービスは、クラウドストレージやクラウドコンピューティングなどが急速に普及し、業務目的の利用にも便利な機能が増大してきました。社員は、業務の効率化や高度化の手段として、善意からこれらの利用をしたいと思います。
 これらのサービスは、通常は、個人用には無料、法人用には有料のサービスを提供しています。社員は、無料サービスに加入して、個人目的でも使いこなしていますが、企業は法人用サービスに加入していないことがります。社員にとっては、企業に加入を提言するよりも、自分の加入するサービスで業務を行うほうが簡単です。
 しかし、これらのサービスは、法人用では高度なセキュリティ対策をしているのに対して、個人用では無料のこともあり法人用より弱いのが通常です。それで、業務用のファイルを、個人用のサービスに保存することで、情報漏洩の原因になる可能性があります。

社員は業務改善のために利用しているのですから、単に利用禁止したり後述の監視機能を採用したりするのは不適切です。また、多数の社員が多様なサービスを利用しているときは、それぞれのサービスに法人として加入するのも無駄でしょう。
 社員のニーズを調査して、適切なサービスを採用し利用環境を標準化すること、余裕があれば自社業務に合わせたインタフェースを開発すれば、社員・企業双方にとって効果がありましょう。

CASB(Cloud Access Security Broker)

クラウドサービスでの監視システムです。インターネットでのプロキシサーバのように、利用IT機器とクラウドサービスの間に配置することで、クラウドへのアクセス内容をCASBが取得し、セキュリティポリシーを一元管理・適用します。
 認証やアクセス制御、データ暗号化、マルウェア対策など、クラウドサービスを利用する上で必要となるセキュリティ対策を一元管理し、セキュリティポリシーに反する通信を遮断することが可能です。


本シリーズの目次へ