脅威から保護するための「セキュリティ・ライフサイクル・マネジメント」：情報家電のセキュリティリスクと対策（1/2 ページ）

情報家電のセキュリティリスクには、メーカーだけでなく流通過程や製品を使う消費者も関係する。今回は製品ライフサイクルの「廃棄」と「再利用」における脅威と対策を取り上げ、情報家電全体でのセキュリティを考察しよう。

[斧江章一（トレンドマイクロ），ITmedia]

　連載最終回となる今回は、「セキュリティ・ライフサイクル・マネジメント（SLM）」の7つのプロセスのうち、「廃棄」および「再利用」プロセスにおけるセキュリティ脅威と有効な対策はどのようなものかを紹介しよう。そして、情報家電におけるセキュリティ全体について総括してみたい。

プロダクトライフサイクルにおけるプロセス

廃棄プロセス

　ユーザーは、製品寿命や買い替え需要などにより、情報家電を廃棄することになる。完全に廃棄される場合はこの廃棄プロセスで情報家電のセキュリティライフサイクルが終了する。廃棄されずに再利用される場合は、次項に述べる再利用プロセスへと進む。

　廃棄プロセスにおけるセキュリティ脅威は、個人情報の漏えいである。ユーザーは運用プロセスでID、パスワード、クレジットカード番号などのさまざまな個人情報を情報家電に入力している。また、運用を通じて画像、動画、有償サービスなど数多くのコンテンツを情報家電の中に保存しているだろう。情報家電そのものの機器情報やプラットフォーム、アプリケーションなども個人情報と結び付く可能性がある重要な情報資産である。つまり、これらの情報資産を保存したまま廃棄した場合、ユーザーの手を離れた後に個人情報が漏えいする可能性があるのだ。

　まずメーカー側の取り組みとして、廃棄時にユーザーの個人情報が漏えいするのを防ぐ対策を講じることが求められる。具体的には、運用時に入力された個人情報を消去する機能を情報家電に実装しておくことだ。そして、廃棄ガイドラインを策定し、ユーザーガイドや自社のWebサイト、コールセンターなどで、廃棄方法についてユーザーに知らせる仕組みを構築する。また、ユーザーが自分で必要な情報を消去できない場合に備えて、サポートセンターなどで個人データを論理的に消去する方法や、ユーザーの目前でのディスクを破壊するなどの物理的な消去を含めた各種サービスを提供することが望ましい。

　このように、メーカー側が廃棄時におけるユーザーの個人情報の漏えいを防ぐサービスを提供することは、顧客満足度の向上にも結び付くだろう。その一方で、ユーザーは廃棄時に必ず個人情報を消去する方法を確認し、データを消去すべきである。分からない場合は、メーカーのWebサイトやコールセンターなどを確認して積極的に情報を収集し、消去作業が完了してから機器を廃棄してほしい。

再利用プロセス

　再利用プロセスは、情報家電が廃棄される以外、中古家電として再度利用されるケースである。情報家電は、ネットオークションやリサイクル業者による再販などで再流通することも多く、ユーザーが知り合いへ直接譲渡する場合なども再利用プロセスに当たるだろう。

　再利用プロセスにおけるセキュリティ脅威は、基本的に運用プロセスと同じように、不正プログラムの感染や攻撃、リバースエンジニアリング、フルブラウザを通じた子どもの教育にとって不適切なコンテンツの閲覧などについて留意する必要がある。また、従前のユーザーの個人情報が消去されず、次に再利用するユーザーに以前のユーザーの個人情報が漏えいする脅威も想定される。

　不正プログラムやリバースエンジニアリング、子どもにとって不適切なサイトへのアクセスは、前回紹介した運用プロセスにおけるセキュリティ対策を参考にしていただきたい。個人情報の漏えいは、廃棄プロセスにおいて取り上げたようなメーカーなどが提供するガイドラインが参考になるだろう。また、リサイクル業者が再販する際は、必ず個人情報などを消去して販売し、Webサイトやサポートセンターなどでメーカーなどから提供されているセキュリティに関する情報を、新たに利用するユーザーへ知らせる仕組みの提供が望まれる。