PART2 内部からの「不正アクセス」を防ぐ：「性悪説」による機密・個人情報漏えい対策 第2部（4/6 ページ）

[園田法子、橘田明雄、卯城大士（チェック・ポイント・ソフトウェア・テクノロジーズ），N+I NETWORK Guide]

　内部セキュリティを充実させるうえで、社員が利用できるアプリケーションを制御することも重要だ。通常、社内で利用されるコンピュータ上にインストールされるべきアプリケーションは、業務に必要なものにかぎられるべきである。

　ところが、インターネット上にはさまざまなフリーウェアが存在しており、これらソフトウェアを無作為に社内コンピュータにインストールしてしまう社員がいる。しかし、インターネット上にあるフリーウェアをインストールすることには危険が伴う。気づかぬうちに、トロイの木馬型プログラムやスパイウェアなどの危険なプログラムをインストールしているかもしれないからだ。社員の不用意なソフトウェアの導入により、さまざまな情報を社外に流出してしまう危険性が発生してしまうのだ。

　また、不必要なアプリケーションの利用は、それらを対象としたワームに感染する機会を拡大してしまう可能性が高い。最近多く報告されているワームの被害に「P2Pアプリケーション」を対象としたものがある。これを防ぐためには、社員にP2Pアプリケーションの利用を禁止するだけでなく、ファイアウォールなどでこれらを利用した通信を遮断するなどの対策が必要だ。

　P2Pアプリケーションは、80/tcpを利用しているものも多く、ポート番号のみでアクセス制御を行うことは難しい。P2Pアプリケーションの通信を制御するためには、ポート番号にかかわらずアプリケーションの詳細を解析し、通信を制御することが可能な高度なファイアウォールが必要となる。

　このように、システム的に利用できるアプリケーションを制御する一方で、業務で使うコンピュータに関係のないソフトウェアはインストールしないよう、社員教育を徹底することが重要である。また、どうしても社内で認めている以外のソフトウェアの導入が必要な場合は、その理由とアプリケーション種別の事前申請、承認の取得を義務づけることで、使用アプリケーションの管理強化を行うようにしよう。

持ち込まれるモバイルコンピュータの管理

　ノートPCやPDAなどの普及により、企業内でもモバイルコンピュータが利用される機会が多くなっている。社員は、必要情報をこうしたモバイルコンピュータに保存すれば、出先や自宅でも内容を確認できるので、仕事を行ううえで非常に便利なツールだといえる。しかし一方で、モバイルコンピュータの普及が情報漏えいや不正アクセスが起こる機会を増やす原因となっているのも確かだ。

　モバイルコンピュータは、携帯性がある一方、忘れやすいだけでなく、盗難された場合にも簡単に鞄などに隠されてしまう。このため、モバイルコンピュータの盗難や紛失などによる情報流出の被害は後を絶たない。モバイルコンピュータの盗難や紛失は、社内、社外の両方で起こりうるので、その管理には慎重を要する。

　また最近は、モバイルコンピュータが社内ネットワークでワームの感染源となるケースも多い。これは、モバイルコンピュータを自宅などのセキュリティが弱い環境で利用した結果、ワームに感染し、それを社内に持ち込むことによって企業内ネットワークにワームを広めてしまうケースだ（図7）。インターネット経由でのワーム感染については対策を講じている企業は多いが、社内からの感染に対して十分な対策を施しているところはまだ少ない。このように、モバイルコンピュータは社員に利便性を提供する一方で、情報漏えいやワーム感染の原因にもなりうるので、その利用にも注意が必要だ。

図7■内部ネットワークでの危機増加（ワーム拡散）

　モバイルコンピュータでの危険を回避するのに最も有効なのは、モバイルコンピュータそのものの利用を禁止することだ。実際に、社内でのモバイルコンピュータの利用や持ち込みを禁止している企業も現れてきている。

　しかし、モバイルコンピュータを有効活用したいのであれば、先に「コンピュータ管理」で述べたように、認証などのコンピュータ管理を徹底する必要がある。また、モバイルコンピュータは盗難や紛失の可能性が高いので、デスクトップPC以上にセキュリティ対策を施す必要があるだろう。

　モバイルコンピュータのセキュリティを総合的に向上させる方法の1つである「TPM（Trusted Platform Module）」というセキュリティチップを搭載しているモバイルコンピュータの利用が考えられる（図8）。TPMとは、PCプラットフォームのセキュリティ技術を策定する業界団体「Trusted Computing Group」が作成した仕様に準拠するセキュリティチップで、最近ではさまざまなコンピュータベンダーがこれを搭載したモバイルコンピュータをリリースしている。

図8■モバイルコンピュータの保護

　このTPMによって、プラットフォーム自体をより強力に保護するとともに、プラットフォームに保存されているファイルも安全に守ることが可能となる。具体的には、TPMはコンピュータのハードウェアやソフトウェアに不正な改ざんが行われていないかをチェックし、もし改ざんが認められた場合は、コンピュータを起動できなくすることが可能なのだ。

　またTPMは、あらかじめ暗号鍵を持ち、この暗号鍵を使って重要なファイルなどを暗号化することも可能だ。TPM自体に暗号鍵が保存されているので、万が一ハードディスクが盗まれても、ハードディスクから暗号化されたデータを読み出すことはできない。また、TPMを取り外してほかのプラットフォームにつけ替えた場合は、ハードウェアの不正を検出してプラットフォームを起動できなくする機能もある。さらに、暗号鍵をあらかじめTPM内に保存して提供されるので、インターネットなどのネットワーク上で鍵がやり取りされることもなく、鍵管理の面から見ても安全だ。

　このように、TPMが搭載されたコンピュータであれば、強度なセキュリティ機能を利用することができる。ビジネス環境でモバイルコンピュータを利用するのであれば、TPM対応マシンを利用するなど、あらかじめセキュリティ機能が搭載されている製品の導入を検討したい。

　一方、このようにモバイルコンピュータを盗難などによる情報漏えいのリスクから守るだけでなく、ワームやウイルスなどの被害から保護することも重要だ。

　前述のように、モバイルコンピュータは、出張先や家などのセキュリティが弱い環境で接続されることが多く、ワームなどに感染する可能性も高くなる。社外でワームに感染したコンピュータを社内に持ち込まれてしまうと、企業ネットワーク全体にワームを拡散してしまうだろう。このようなことを防ぐためには、OSのアップデートやウイルス定義ファイルの更新などをひんぱんに行わなければならない。しかし、実際にこれを個々のユーザーに義務づけるのは非常に難しい。社員に対しては、OSのアップデートやウイルス定義ファイルの更新を行うように義務づけるとともに、もし仮にワームに感染したコンピュータを持ち込まれても、被害を最小限に抑えられるような対策を講じておく必要がある。

そのほかの内部セキュリティ対策も考慮しておく