パリの国際空港で飛行機に乗る直前に米セキュリティ企業の幹部が呼び止められました。「PCのパスワードを解除しなさい、それがルールだから」
米HackerOneのチーフポリシーオフィサーを務めるケイティ・ムソリスさんがTwitterで気になる発言をしています。パリのシャルル・ド・ゴール空港で、空港職員から「PCのハードディスク暗号化を解除せよ」という指示を受けたのだそうです。
HackerOneは、セキュリティ上の欠陥の発見を専門とするハッカーたちに大手IT企業のWebサービスの「バグ」を見つけてもらい、賞金を支払うという業務を行う会社です。HackerOneが持つ情報が外部に漏れてしまえば大変なことになります。同社のブログによれば、ムソリスさんのPCの中に機密情報はなかった(参照リンク)そうですが。
なぜ空港の警備員がすべてのパスワードを解除せよと要求したのかといえば、PCがPCとして動くことを確認するためだったそうです。欧州の空港ではテロ対策として旅行者へのチェックが厳しくなっています。
実際、ムソリスさんもかつてベルギーのブリュッセル空港で「PCとスマートフォンを起動しなさい」と求められた経験がありましたが、そのときは電源を入れてログイン画面を見せるだけで済んだそうです。
もともとシャルル・ド・ゴール空港のセキュリティはかなり厳しいとは聞きます(この出来事は「シャルリー・エブド襲撃事件」の発生前のことです)。しかし、空港の警備員がこれから飛行機に搭乗しようとする人が持つデータの重要性を把握しているとも思えません。
彼女は「言語の壁があったにせよ、暗号化パスワードを解除して、Webブラウザを立ち上げ、Twitterの画面を見せるまで解放されなかったのはとても奇妙な体験だった」とコメントしています。
日本の企業でも社外に持ち出すPCにパスワードや暗号化といったセキュリティ対策を課すところが増えています。出張などで使う空港で「解除せよ、それがルールだ」といわれてしまったとき、私たちはどう対応すべきなのでしょうか。
BIOSパスワード、ログインパスワード、暗号化パスワードのすべてを空港職員の目の前で解除せよといわれたとき、その指示に「はい、そうですか」と答えるわけにはいかないでしょう。持ち出しPCの暗号化をするような、しっかりとしたセキュリティポリシーを用意している企業であればあるほど、なおさら困るはずです。
筆者は旅行時に「PCの暗号化まで解除せよ」という事態に遭遇したことがないので、どのくらいの頻度でこのようなチェックを行われるのかは分かりません。しかし、海外出張の多い部署を持つ情報システム部は、厳しいセキュリティチェックがあったときのポリシーも決めておく時期に来ているともいえます。
今回の事例のように、PCがPCとして動くことを確認するため、ログインまでさせることが目的(このとき、ハードディスク暗号化が解除された状態)ならば、「デスクトップに機密情報を置かない」ことが対策の1つになるでしょう。まれに記者向けの発表会やセミナーなどでも、講演者のPCのデスクトップに散らばるファイル名に取引先らしき企業名を見ることがありますからね。普段から気を付けておきたいポイントです。
ほかには、海外出張専用のPCとして何もデータが入っていないものを用意し、必要なデータはVPNを使って自社サーバにアクセスするかクラウドサービスを活用することも対策になります。PCのログインパスワードの解除を求められても、PC内に重要なデータが入っていない状態なら簡単に応じられそうです。とはいえ、大事な出張を使い慣れないPC、使い慣れない方法でこなすのも難しいところ。時代は通常業務でも「シンクライアント」や「リモートデスクトップ」に向かっているのかもしれませんね。
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
Copyright © ITmedia, Inc. All Rights Reserved.