過大なコストをかけずに実現する持ち出しPCのセキュリティ対策：ワークスタイル変革とセキュリティの両立

セキュリティ事故を防ぐ持ち出し禁止ルールによって、モバイルPCが単なる省スペース型のデスクトップマシンと化してはいないだろうか。オフィス外で仕事をする上でのセキュリティを過大なコストをかけずに実現する方法を紹介する。

[尾崎孝章（デンカク），ITmedia]

　今から10年ほど前に、「ユビキタス」という言葉が流行った。時間や場所の制約なく、さまざまな情報機器を通じて情報やネットワークにアクセスできる社会を意味する。現在は、スマートフォンやWiFi機器による通信など、社外にいてもワイヤレスブロードバンドの恩恵が手軽に受けられる時代となった。しかし、いざ企業の利用環境を見渡してみると、実際には社内のセキュリティルールの制約によって、そうしたサービスの利用を大きく制限されてしまっている場面は多い。

　個人情報の漏えい事故や営業上の秘密の流出が、企業経営に大きな影響を及ぼしている。企業経営者やセキュリティ担当者がセキュリティに対して必要以上に気を配るのは当然であろう。そのため、社員にモバイルPCを貸与しながらも、セキュリティ対策の一環としてPCの持ち出しを一律禁止にしてしまう場面をよく目にする。モバイルPCをセキュリティワイヤーで机に固定し、持ち出せないようにしているケースもある。しかし、現在は、情報の迅速性が問われる時代である。モバイルPCをデスクトップマシンとしてしか利用できないような状況は見直していかなければならない。

　そのために、どのようなセキュリティツールをどれくらいの費用で実施できるものなのか。遠隔でPC内のデータを消去したり、PC自体にGPSを付けて紛失場所を特定したりといったサービスもあるが、高い水準のサービスありきで考えてしまうと、導入後の維持費も含めて過大なセキュリティコストが見積もられ、結局、無難にPCの持ち出しを禁止することに落ち着いてしまう。そこで、モバイルPCの利用制限をかけることに対して、どのようにしたらリスクを抑えてオフィス外に持ち出しても大丈夫か、セキュリティコストを抑えるべく、Windowsの機能を可能な範囲で利用した取り組みを紹介したい。

Windowsの機能で可能なセキュリティ対策

データの暗号化

　PCの社外持ち出しにおいて、もっとも大切なセキュリティ対策であるのはデータの暗号化である。社外でPCの利用を制限する本質とは、情報の入れ物であるハードウェアではなく、その中身である情報（データ）にある。万が一、PCが盗難にあったり、紛失したりした場合に、暗号化の有無は情報漏えいの有無の分岐点になるからだ。BIOSパスワード（OS起動前の段階でのパスワード入力）の設定も対策の1つだが、それだけではHDDをほかのPCに取り付けた場合に内容が閲覧されるおそれがある。

　そこでWindows XPやWindows 7のProfessional（VistaならBusiness）などの上位バージョンには、NTFS形式でハードディスクをファイルフォーマットしていれば、「EFS（Encryption File System）」というOS側でのデータ暗号化が利用可能であり、これを利用する。ただし、HDDを丸ごと暗号化するのではなく、特定のファイル、フォルダ（ディレクトリ）を暗号化するものであるため、細かくフォルダ単位で暗号化するのは得策ではない。利用ユーザーが正しく暗号化対象情報を選択して暗号化したつもりでも、暗号化対象から漏れてしまうことがあるためである。予め決めた大枠でのデータ保存フォルダに対して、フォルダ直下のファイル、フォルダすべてに対して暗号化する。またメール送受信データの保存先も暗号化の対象にする。

　これによって、もしPCが盗難にあっても、拾得者がOSのログインパスワードを知らなければ、HDDを取り出して違うPCに接続しても最低限、暗号化した中の情報を参照することはできないだろう。なお、OSのログインパスワードが暗号データの復号キーとなってくるため、パスワードは、英数記号を含めた社内で利用するパスワードよりは複雑なものを使用することをお勧めしたい。

　さらに暗号化フォルダへの保存忘れのリスクを排除し、漏れなくHDDを丸ごと暗号化するというのであれば、Windows VistaやWindows 7のUltimate（またはEnterprise）に付属する暗号化ツール「BitLocker」を利用すると良い。情報管理が正確にできるならば、この情報は持ち出し禁止、あの情報は持ち出し可能という線引きが可能であるし、社員は適切に暗号化フォルダ内にデータを保存するだろう。ただし、実際には外出先でのPC利用で役立つのは社外での情報の授受であり、その代表格はメールチェックや、その添付ファイルだ。添付ファイルであれば送信元からどのような重要情報を送ってくるかは分からず、一時保存先として暗号化していないフォルダに保存するかもしれない。

　情報分類をしての持ち出し制限やデータ保存先の指定は確実なセキュリティという点では現実的な運用としては難しい部分がある。Windows 7であれば、ProfessionalからUltimateへのバージョンアップ料金が1万6590円であることを考えれば、OSを丸ごと暗号化するツールとしては高いものではない。万が一の事態の懸念をなくすためにも1ライセンス単位から必要数だけ購入する価値はある。

データのバックアップ

　PCの外部持ち出しにおいて、もう1つ忘れてはならない対策が、データのバックアップ管理である。なぜなら、暗号化によってモバイルPCを紛失し、データ漏えいの心配がなくなっても、紛失データのバックアップがなければデータは戻ってこないからだ。

　そもそも、どのデータが紛失したのかを特定するのも難しい。そのため、帰社時には必ずバックアップを実施し、外出中の作業データを別の機器に保存しておくことが大切である。これも先に挙げたWindows XP Professionalなどならバックアップツールが標準機能として備わっている。Windows 7であればスケジュール設定に基づいたバックアップの自動実施も可能である。

通信データの暗号化

　社外でインターネットを通じて情報の送受信を行う場合には、盗聴への対策として暗号化通信がある。インターネットブラウザ上でのフォームへの入力場面だけではなく、メール送受信時もSSLなどで暗号化通信が保たれるように配慮するべきである。また、公衆無線LANは利用しないということも鉄則である。必ずしも通信データが暗号化される保証はなく、サービスによってはモバイルPC内に共有フォルダを設定している場合に、同じアクセスポイントに接続しているほかのPCから中の情報が見えてしまうリスクもある。

パスワードの自動入力機能の停止

　インターネットブラウザやメーラー、リモートアクセスツールには、都度のパスワード入力の手間を省略するために、ログインIDやパスワードを自動入力してくれる機能がある。Windows全体の暗号化をしていない場合には、そうした機能は停止すべきである。万が一、OSのログインを許した場合に、そのままサーバー等へのアクセスまで許してしまう可能性があるからである。Internet Explorer 8なら、「ツール」の「インターネットオプション」にある「コンテンツ」から「オートコンプリート」を設定をクリックして、「フォームのユーザー名およびパスワード」などのチェックを外すことで対応できる。

ルールの用意

　上記の取り組みの準備ができたら、あとは確実な実施のためにルール化していくことが大切である。どんなに、やるべきことを決めたとしても、それが本当に守られていなければ意味がなく、いつの間にか社員が違うセキュリティ設定に変更してしまうかもしれない。といって、何も細かなルールを用意する必要はない。実施すべきことを確認できるチェック表を用意して、定期または都度にモバイルPCを持ち出す際などに漏れなく実施できていることを確認するルールがあれば良い。持ち出し時の注意説明も合わせてしておくと効果的だろう。

　以上、Windowsの標準の機能を利用するだけでも、まず問題のないセキュリティ対策の実施が可能である。ことセキュリティ対策においては、あまり「禁止」ばかりの厳しい制約を設けるのは逆効果である。なぜなら、会社で禁止の事項と理解していても、「やろうと思えば何でもできる」状態であることは多く、必要に駆られて私用のメールアドレスにデータを転送したり、私物の機器をこっそり持ち込んで利用してしまう傾向があるからだ。一定の利用を認めていくことが、実は隠れルール違反によるリスクを抑え、かつ、業務効率を上げていく取り組みとして有効なのである。

　ここに紹介した対策は、マイクロソフトのページで公開されているので、ぜひ以下の関連リンクを参考にしていただきたい。

執筆者プロフィール：

おざき・たかあき　株式会社デンカク代表取締役。業界紙記者として多数のIT企業の取材を手がけ、その後、情報セキュリティコンサルタント会社で業種・業態を問わず、大手から中小企業まで幅広い企業で情報セキュリティのコンサルティング業務を担当する。2009年より現職で効率的な企業セキュリティレベルの向上支援を目指して活動中。システム監査技術者・情報セキュリティアドミニストレータ・公認情報セキュリティ監査人。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら