情報漏えいを起こさないためのクライアント設定術次世代企業が目指すべきセキュアなクライアント環境の実現(1/2 ページ)

今回は、企業活動にとって致命的ともいえる情報漏えいを起こさないようにするという視点で、クライアントのセキュリティを高めていく方法を考えよう。

» 2005年12月20日 12時30分 公開
[下村恭(ハンズシステム),ITmedia]

 新聞などで報道される情報漏えい事件や事故を見ると、ほとんどすべてのケースが人的ミスによって引き起こされているといっても過言ではない。顧客情報の入ったノートパソコンをうっかり電車の網棚に置き忘れたとか、車の中の外から見える場所に置き去りにしてしまい車上あらしに遭ったとか、社内で鍵の掛かる引き出しにしまうのを忘れて盗難に遭ったなどなど、「ついうっかり」という場面が多い。

 社外へ流出したときに大きな問題となるような情報を扱っているのであれば、それを扱う各関係者がうっかりミスを起こさないように注意するのは当然のことだ。それに加えて、人間はミスをするという前提で、仮にミスがあってもそれをカバーできるような体制を整えておく必要があるのではないだろうか。

暗号化は有効な手段、だが万能ではない

 クライアントパソコンが盗難に遭ったり紛失したりした場合に、どのようにして情報が漏えいするのかを考えれば、その対処方法もおのずと見えてくる。もし、盗難に遭ったパソコンが電源を入れただけでログオンして使える状態になっているとすると、それだけで危険なのは明白だ。最低でもログオン時のパスワードを掛けておくべきだ。

 パソコンそのものに付箋紙に書いたパスワードを貼っておくなどはもってのほかだが、簡単に推測できるようなパスワードを設定することにも問題がある。例えば、会社の電話番号や部署名などをパスワードに設定し、名刺と一緒にしておいたのではパスワードの意味がない。

 物理的にハードディスクを取り外して、ほかのパソコンを使って中身を見られることもある。この場合、ログオンされなくても中身を見られてしまうということを覚えておこう。もちろん、複雑なパスワードを設定しておいてもそれが破られることはあり得る。つまり、ログオン時のパスワードを設定してあるからといって、そのクライアントに保存した情報が守られていると考えてはいけない。ではどうするか?

 ログオンされてしまっても中身を見られないようにするには、ファイルを暗号化しておくという手がある。この暗号化にもさまざまな方法があるので、業務内容に応じて検討したい。ファイルやフォルダ単位で暗号化するタイプもあれば、ハードディスク内に確保したエリアを仮想的なドライブとして用意し、このドライブ全体を暗号化するものもある。Windows 2000やXP Professionalが標準機能として備えている暗号化(EFS)は前者のタイプだ。

 それぞれに特徴があるので、どれがベストとはいい難い。ただし、必ず考慮しなければならないのは、弱点がどこにあるかを認識しておかなければならないという点だ。

 例えば、ハードディスクの一部をドライブとして暗号化するツールを使用する場合、パスワードを使って暗号化を解除して作業し、電源をオフにするまでは暗号が解除されたままになっていることが多い。もし仮に、パソコンのサスペンド機能や休止機能では再び暗号化されないとなると、画面を閉じた状態で持ち運んでいるときは暗号化されていないに等しい。

 つまり、使っているユーザー自身が、クライアントパソコンがどのようなときにセキュリティ上問題があるかを認識しなければ、危険な状態にクライアントパソコンを置いてしまう可能性がある。もちろん、うっかりミスもあり得るので、サスペンドや休止状態にできないように設定するなどの対策も必要だろう。

 また、Windows 2000/XPの持つ暗号化機能は、ログオンと同期している機能であるので、ログオンパスワードが破られた場合には働かないと考えるべきだ。つまり、ログオンされてしまったら、対策としては意味がないものになる。

 では、情報漏えいに対する根本的な対策とはどのようなものだろうか?

重要な情報はクライアントに格納しない

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ