ここでのパソコンとは、パソコンだけでなくスマートフォンやタブレットなどの端末機器、さらにはUSBメモリなど持ち運びのできる記録媒体も含みます。
近年はモバイル環境でのパソコン利用が一般的になりました。それに伴い、重要情報の社外持ち出し、パソコンの紛失や盗難による情報の流出など、セキュリティリスクが増大しています。個々のセキュリティ対策に関しては他章でも取り扱っていますが、本章ではトピックス的に概要を示します。
バックアップ、回復ドライブ、システムイメージバックアップ、パソコンの紛失・盗難・廃棄、シンクライアント、TPM、MDM、BYOD、検疫ネットワーク、シャドーIT、CASB
システムのバックアップでは、OS標準装備の機能を用いるのが一般的です。
購入初期の状態のシステムをUSBメモリなどに保管して。OSが起動しないなど根本的なトラブルが発生したとき、この回復ドライブを用いて購入初期の状態に戻すことができる操作です。
しかし、ここで保存回復できるのは、OSなどのごく一部の重要なデータだけで、通常のソフトウェアやデータは対象になりません(復元時には失われてしまいます)
PC購入してセットアップする段階で回復ドライブ作成プロセスが自動で起動するので、それに従って作成します(購入時に回復ドライブが入ったDVDが添付されていることもあります)。しかし、OSの最新バージョンに対応するためには、稼働後でも適当な時期に回復ドライブを作成するのが適切です。
基本的には内蔵ディスクの全データをバックアップします。バックアップは定期的に自動化できるし、随時に手作業でもできます。また、指定したバックアップ時点まで遡ってリカバリできます。
バックアップ先は、内蔵ディスクの一部を指定できるし、外部ディスクも指定できます。
しかし、大量になるので、次のような機能が付加されています。
自分が作成したりインストールしたデータやアプリケーションのバックアップです。非常に大量なファイルがあり、それぞれ重要性や管理ニーズが異なるので、システムデータとは異なる対策が必要になります。例えば、次のようなデータでは、重要性の確保とコスト・労力のバランスは大きく異なります。
バックアップ場所の観点では、
・自分所有の外部ストレージへのバックアップ
・クラウドバックアップ
があります。
クラウドバックアップとは、基本的には自分のパソコンにあるデータを外部のクラウド環境にバックアップするとです。単にバックアップ機器の節約、パソコン故障への対策だけでなく、クラウド提供者による多様なサービスが受けられます。→参照;個人向けクラウドサービス
モバイルパソコン、タブレット、スマートフォン、USBメモリなどをオフィス外に持ち出す機会が増大してきました。そこには業務情報だけでなく、業務情報アクセスする社内LANに接続情報などが入っています。紛失や盗難により、第三者にそれらの情報が漏洩する危険性が増大しています。
パソコンに電源投入後にパスワードを入力しないとOSが起動できない仕組みです。パソコンが盗難にあっても、パスワードを知られないと使えません。この方法は一般に採用されており、オフィスでも離席時に他人に使われないようにしています。
パワーオンパスワードを設定していても、ハードディスクを取り出して他のパソコンに接続すれば読まれてしまいます。それを防ぐために、パスワードを設定したパソコンでなければハードディスクを認識できなくすることができます。パワーオンパスワードと併用するひつようがあります。
最も基本的な対策は、パソコン等に保存されている情報を暗号化することです。紛失や盗難にあっても、第三者に内容を知られることがありません。
そもそもパソコンにデータやソフトウェアをもつからこのような危険性があるのです。すべてのデータやソフトウェアをサーバに置き、パソコンにはサーバにアクセスして結果を表示できる機能(Webブラウザ)だけをもてばよいことになります。また、USBメモリやDVDなどの記憶媒体のための接続機器も不要です。
このように機能を絞った仕様のパソコンをシンクライアントといいます。また、セキュリティを重視したシンクライアントをセキュアPCといいます。→参照:「シンクライアント」
パソコンの廃棄時にも同様な危険性があります。重要なのはHDDに保管されている情報を完全に抹消することです。
最も安全なのは、HDDをハンマーなどで物理的に破壊することですが、ここでは。HDDを再利用することを考慮して、ソフトウエア的に情報を抹消する手段を対象にします。
多くの記憶媒体は、ファイル管理システムにより管理されています。単純には実際にファイルが格納されている領域と、どのファイルがどの領域に格納しているかなどの管理情報を格納している管理領域があります。ファイルをアクセスするときは、管理領域により該当するファイルの格納場所を取得することになります。
論理フォーマットとは、管理領域とデータ領域の対応をクリアするものです。通常の「削除」操作や「フォーマット」操作は論理フォーマットです。
論理フォーマットにより、ファイル管理システム上では該当ファイルが存在しないことになり、ファイルにアクセスできなくなります。その領域は論理的には空領域となり、他のファイルを書き込めるようになります。
しかし、該当領域が物理的に消去されるのではなく、データそのものは残っています。そのため、何らかの手段を講じることにより、ファイル内容を復元することができるのです。
データ消去ソフトウェアは、データを完全に消去し、あとから復元できないようにするための専用ツールです。
TPM(Trusted Platform Module)は、セキュリティチップともいいます。多種多様な暗号アルゴリズムの処理をチップ内で行う機能を持つLSIチップで、外部から内部の情報の取出しを困難にすることができます。パソコンのマザーボードに装填されます。
TOG(Trusted Computing Group)策定の標準仕様に従い、公開鍵暗号(RSA)演算と鍵生成、SHA-1のハッシュ値演算、乱数生成、デジタル署名生成の機能があります。生成した鍵や演算で得たハッシュ値などの値はTPM内に保持している不揮発性メモリに保存しておくことができ、そのメモリ部分には外部機器からアクセスはできません。つまりこのチップ内で安全に暗号化・復号、デジタル署名の生成・検証と鍵の管理を行うことができるということです。
OSや他のハードウェアから独立して機能するため、外部からの攻撃にも強く、しかも、機器からそのデバイスを取り出し、暗号鍵などを読み取ろうとすると物理的に破損してしまう耐タンパー性をもっています。
TPMを装備することにより、個々のソフトウェアが暗号ライブラリを負担する必要が大幅に減少します。盗難などの場合でもパソコン内部じょ情報漏洩を防ぐことができます。
企業向けモデルのノートパソコンなどには標準装備されていますが、通常のパソコンにほ普及してきました。特に近年はIoTのCPUへの装備が注目されています。
BitLockerは、Windows が持つ機能で、TPMの暗号化機能の一部を使って、HDDやSSD、USBメモリなどのデータの暗号化を行うものです。
EMMは、社員が社外や自宅でパソコンやスマートフォンを活用する状況において、それらの情報機器を遠隔地(管理部門)から統合的に管理するシステムです。
以下のMDM、MAM、MCMを統合したものです。
MDMとは、社員が携帯する法人貸与の情報機器を遠隔地(管理部門)から統合的に管理するシステムです。
MAMは、主にBYOD機器を対象にした管理手法です。
機器を仮想的に「業務用区画」と「私用区画」に分離、互いに影響しないようにします。MAMは、業務用区画だけを管理対象にします。例えば業務用区画のデータ通信のみ暗号化することで、BYODの利便性と安全性を高めています。
アプリ・データの利用制限。業務用区画のデータコピーの制限や、遠隔操作によるアプリやデータの消去機能によって、安全な利用をサポートしています。
業務で利用するコンテンツ(主に業務用のデータ)の安全かつ効率的な活用をサポートします。
・サーバやクラウド上にあるデータへのアクセス権を管理
・モバイル端末上にデータが残らないように制御
自宅でインターネットにブロードバンドに常時接続している個人ユーザを対象にしたファイアウォール。機能は限定されているが、OSやアンチウイルスソフトに標準的に装備されていたり、低価格な製品が提供されています。このソフトウェアをノートパソコンに取り込むことにより、モバイル環境でも利用できます。
私物パソコンにはウイルスが潜んでいるかもしれず、企業に持ち込んでLANに接続したら多くの社内パソコンに伝染してしまいます。近年の大規模な事件では、USBメモリに潜んだウイルスが、社外とのネットワークから遮断されている社内中枢のシステムに侵入した手口が多くなってきました。
業務情報をUSBメモリにコピーして自宅のパソコンに入れて作業をすることがよくあります。そのとき、私物パソコンにファイル交換ソフトがインストールされており、業務情報がインターネットに漏洩した事件が多くあります。→参照:「ファイル交換ソフトのウイルス」 このように、企業が認めていない情報機器やITサービスを、部署や従業員が勝手に業務で利用する行為や状態をシャドーITといいます。
BYODとは、従業員が私物端末を企業内に持ち込んで業務に活用することです。従来は私物の利用を禁止する傾向が強かったのですが、近年は私物のスマートフォンやタブレットを業務用に積極的に利用しようという傾向に変化してきました。
検疫ネットワークとは、正規の社内LANと隔離したネットワークで、これにパソコンを接続するとパソコン内を検査してウイルス等の有無をチェックする機能をもっています。
私物のパソコンや外出先で用いたパソコンにはウイルス等が入っている危険性があります。それを社内LANに接続しようとすると、強制的に検疫ネットワークに接続されます。安全が確認されると自動的に正規の社内LANに接続され、問題のあるパソコンは接続できないようにします。
この機能は、ウイルスの発見だけでなく、ウイルス対策ソフトの更新を自動的に行うとか、セキュリティ以外での社内システムに関係するパソコン側ソフトウェアのバージョンアップ自動化にも応用できます。そのため、私物以外のパソコンでも、各人が出社して電源を入れるときに、検疫ネットワークへ接続する仕組みにすることもあります。
BYODが個人の情報機器を社用に用いるのに対して、COPEは企業が社員に貸与して利用すること。認められた範囲では私用を認める場合もあります。
シャドーITとは企業の承認を受けていないIT機器の持ち込みやクラウドでの各種サービスを使用することです。これはセキュリティ上、大きな脅威になります。
クラウドサービスは、クラウドストレージやクラウドコンピューティングなどが急速に普及し、業務目的の利用にも便利な機能が増大してきました。社員は、業務の効率化や高度化の手段として、善意からこれらの利用をしたいと思います。
これらのサービスは、通常は、個人用には無料、法人用には有料のサービスを提供しています。社員は、無料サービスに加入して、個人目的でも使いこなしていますが、企業は法人用サービスに加入していないことがります。社員にとっては、企業に加入を提言するよりも、自分の加入するサービスで業務を行うほうが簡単です。
しかし、これらのサービスは、法人用では高度なセキュリティ対策をしているのに対して、個人用では無料のこともあり法人用より弱いのが通常です。それで、業務用のファイルを、個人用のサービスに保存することで、情報漏洩の原因になる可能性があります。
社員は業務改善のために利用しているのですから、単に利用禁止したり後述の監視機能を採用したりするのは不適切です。また、多数の社員が多様なサービスを利用しているときは、それぞれのサービスに法人として加入するのも無駄でしょう。
社員のニーズを調査して、適切なサービスを採用し利用環境を標準化すること、余裕があれば自社業務に合わせたインタフェースを開発すれば、社員・企業双方にとって効果がありましょう。
クラウドサービスでの監視システムです。インターネットでのプロキシサーバのように、利用IT機器とクラウドサービスの間に配置することで、クラウドへのアクセス内容をCASBが取得し、セキュリティポリシーを一元管理・適用します。
認証やアクセス制御、データ暗号化、マルウェア対策など、クラウドサービスを利用する上で必要となるセキュリティ対策を一元管理し、セキュリティポリシーに反する通信を遮断することが可能です。