連載
» 2011年08月24日 09時00分 UPDATE

もし、在宅業務することになったらどうするか:PCフリーライターが普段実践する、モバイルオフィス環境──「セキュリティ」編 (1/2)

いつでもどこでも自由なワークスタイルを実現する「モバイルオフィス」。ただビジネス業務を行うなら、普段のオフィス内より強く“セキュリティ”を意識すべきだ。今回はモバイルオフィスにおけるセキュリティを意識したPCの仕様や周辺機器の選び方、具体的な実践方法を紹介する。

[石川ひさよし,ITmedia]

意外に軽くとらえていませんか?「モバイルシーンのセキュリティ」

 昨今、PC/IT機器のセキュリティの重要性が叫ばれているのはご存じだろう。アンチウイルスやファイアウォール、スパムやマルウェア対策としてセキュリティソフトウェアを導入しつつ、OSのセキュリティアップデートも確実に適用するのは当然。さらにモバイルオフィス環境で業務するとなると、こうした対策だけでなくデータ漏えいの防止というまた別の視点からの対策も必要となってくる。

 例えば、業務データの中に社外秘とされるものや個人情報が含まれる場合、万が一それが流出すると個人はもちろん企業レベルでの信用問題にも発展する。それは、納期が間に合わないなどよりはるかに重大な問題だ。モバイルオフィス環境は「ノートPCがあればすぐできる」が、それだけに意外と軽くとらえてしまいがちだ。今回は「モバイルシーンのセキュリティ」をテーマに、改めて「それを意識したPC機器の選び方、使い方」を復習しよう。

 モバイルオフィス環境でのデータ漏えいに対し、どのような対策がとれるか。まずデータ漏えいは盗難や紛失から起こることが多い。まずはそれが起きてもデータを漏えいさせない対策を考える。ビジネスコンシューマーができるのは、なにより暗号化やパスワード保護が有効だ。

 暗号化やパスワード保護とは何か。まずはPC機器を選ぶポイントを復習しよう。全体的に見てセキュリティ意識の高いユーザーは、法人・ビジネス向けの機器を使うという結論になるが、ひと昔前はかなり高額だった法人向け機器も、SOHO(Small Office/Home Office)という業務スタイルが生まれて以降、それに合わせた手頃な製品も登場している。

 まずは「PC自体のセキュリティ機能を忘れていないか」という点を考える。

photo あるノートPCに搭載されるTPMセキュリティチップ

 すでにノートPCにおけるセキュリティ機能は、個人向け/法人向けともにニーズが高まっている。そのため、個人向けであってもハードウェアレベルのセキュリティ機能を備えているものは多い。セキュリティ性の高さをうたうモデルではカタログなどに「TPM」といった文字列が記載されているのを見たことがあるだろう。

 TPM(Trusted Platform Module)セキュリティチップはハードウェアとして搭載する暗号化のためのチップで、この専用チップを介してストレージなどのデータを暗号化するもの。セキュリティを意識したPCの購入を検討する際に目安としてほしい機能の1つだ。

 このほか、TPMとともにそのPCのチップセットについても確認してみてほしい。インテルのチップセットで例えると、個人向け製品ではIntel HM67 Expressのように“H”が付く一方で、ビジネス向け製品ではIntel QM67 Expressというように“Q”の文字列が付いている。もっとも昨今は個人向けでも一定以上のセキュリティが求められるため、最低限の機能はIntel HM67にも搭載されている。例えばIntel Anti-Theft Technology(Intel AT/リモートでノートPCの稼働状況を監視し、盗難・紛失時にPC機能を無効化・データを消去する技術)などはIntel HM67でも利用できるセキュリティ機能の1つだ。一方、Intel QM67はIntel HM67の機能はもちろん。ビジネスに求められるよりより高度なセキュリティ機能──例えばIntel vPro Technology(Intel vPro)、Intel Active Management Technology(Intel AMT)なども利用できる。


photo vPro機能の1つ、Intel AMT

 Intel vProは、当初企業内におけるTCO(Total Cost of Ownership)削減のためのハードウェアツール類とされていたが、現在は「第2世代 Core vProプロセッサ」のように、そうしたビジネス向けセキュリティ機能を利用できるインテル製品のブランドネームとして展開する。Intel AMTはそのvPro群の機能の1つで、CPUとは別のプロセッサによりネットワークを通じてほかのPCを制御したり、あるいはPCに障害が生じた時にネットワークを通じて管理者に通知するといったことを可能とするものだ。

 Intel AMTのネットワークを通じた高度な運用・管理は企業内で別途セキュリティ系ソフトウェアベンダーより提供される専用ソフトウェアによって実現するのが一般的で、単体のビジネスコンシューマーでは実現は難しいのだが、一部環境において一部の機能はインテルが無償公開するソフトウェアを通じて利用できる(Intel System Defense Utility、Manageability Commander Toolなど)。これらでもIntel AMT対応PCの電源をネットワークを通じて遠隔操作できるようになり、仮にPCが盗難にあってもそれがオンラインになった時点でIntel AMTを通じて電源を制御してしまうといったことが個人レベルでも可能となる。

 さて、個人向け製品も相応にセキュリティ意識は高まっているが、ビジネス向け製品の方がこの点については最新の技術を先行導入していることが多い。数年前なら企業でしか利用されていなかったNAS(ネットワーク接続型HDD)が家庭向けとしてもかなり普及してきたように、ビジネス向け機器や機能が個人向けにも降りてくるというのが1つの流れだ。Intel AMTのような技術も、近い将来は個人向けPCでも一般的な機能になるということは十分考えられるだろう。

セキュリティ機能で選ぶ「Windows 7」のエディション

photo Windows 7のエディション別搭載機能一覧 Windows 7 Home Premium搭載PCでも「Windows Anytime Upgrade」を利用して上位エディションへアップグレードできる

 さて、暗号化などを主としたビジネス向けPCとなると、ソフトウェア面でもいくつかポイントがある。もっとも大きいのはOSであるWindows 7だろう。Windows 7の主要エディションである、Starter、Home Premium、Professional、Ultimete、Enterpriseのうち、今回注目したい暗号化機能「BitLocker」はUltimeteとEnterprise、上位の2エディションでのみ利用できる。

 BitLockerは暗号化をOS上で行うため、専用ハードウェアを用いた暗号化手段と比べて若干柔軟に利用できるのがポイントだ。例えばWindows 7のBitLockerでは、OS領域はそのままブートできる状態に保ちつつ、別のデータ領域やUSBメモリや外付けHDDなどに暗号化をかけるといった設定も可能。また、上記で紹介したTPMを搭載したPCで適用する場合はこちらを積極的に利用しつつ、TPMを搭載しないPCではUSBメモリを暗号鍵として利用するといった混在環境での利用も考慮されている。つまり、BitLockerはTPMチップを搭載しないPCでも「セキュリティを向上させたい」という場合に有効な手段である。Windows 7 Ultimeteをプリインストールする個人向けモデルはほとんどなく、BTOでカスタマイズオーダーするシーンでは他エディション選択時よりやや高額になるものの、モバイルオフィス環境で使うPCを購入するのであればBitLocker機能が使えるUltimeteを選択するのを勧めたい。

 さて、TPMによる暗号化もBitLockerによる暗号化も、それを解除するのがパスワードだ。このパスワードのセキュリティも考察しよう。パスワードは、一般的に十分な長さを持ち、特定の意味を持たない文字の羅列であることが重要とされる。しかしこれを覚えるのは難しい。有効なのは、パスワードを個人を識別できるほかの手法に置き換えることと考える。

 つまり指紋認証センサーやスマートカード、Webカメラ(を用いた顔認証機能)などを活用する。PCメーカーによって実装方法や搭載ソフトウェアは異なるが、基本はログオンパスワードと指紋や顔などのスキャンデータを結びつける仕組みだ。キーボード入力を伴わないことは、盗み見によるパスワード盗難にも対応できる。製品の多くはWindows ログオンパスワード以外に、特定のWebサイトで必要なID/パスワードなども生体認証できるようになっている。


       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.