今週のSecurity Check [一般編] (第153回,2005年9月5日)

 前回の記事では,モバイルPCに関するセキュリティの概要を解説した。記事で解説したように,モバイルPCにはその利用時と移動時にリスクが存在する。今回の記事では,モバイルPCのリスクを軽減するセキュリティ対策を具体的に考えてみたい。

オフィスPCよりも守りを固める

 前回説明したように,モバイルPCはオフィスに設置したPCとは異なり,ファイアウオールなどで守られていない環境で利用することがある。このため,オフィスのPC以上のセキュリティ対策を施しておく必要がある。

 まず,ウイルス対策やパッチ適用は不可欠。これらはセキュリティのセオリーであり,オフィスのPCでも実施は不可欠である。対策ソフト(ウイルス定義ファイル)の更新やパッチの適用にはインターネットに接続する必要があるので,これらの更新や適用は,ファイアウオールなどで守られた環境で実施したい。守られていない環境でインターネットに接続すると,パッチを適用する前に,攻撃を受けたりウイルスに感染したりする可能性があるからだ。

 また,パーソナル・ファイアウオールといったセキュリティ・ソフトも利用したい。オフィスのPCではこれらを利用していないユーザーも,モバイルPCにはインストールしておきたい。前回の記事で書いたように,社外でモバイルPCをインターネットに接続する際には,ウイルスや不正アクセスの脅威に直接さらされる。オフィスのPC以上に守りを固めておいたほうがよい。

 利用時には周囲にも気を配りたい。モバイルPCは,企業のオフィスとは異なり,周囲に無関係の人(場合によっては悪意のある人)のいる環境で利用することが多いからだ。画面を盗み見されないように,正面以外からは画面を見れないカバー(フィルタ)を利用するとよいだろう。

 第三者に勝手に使われることのないように,モバイルPCから離れるときには十分注意する。離れないことが第一ではあるが,どうしても離れなくてはいけないときには,最低でもパスワード・ロックをかけたい。USBキーといった物理的なキー(トークン)を使って一時的にロックするような製品も各社提供しているので,利用を検討してもよいだろう。例えば,USBキーをPCに挿入すると自動的にログインし,USBキーをPCから抜くとスクリーン・セーバーが起動されてロックがかかるような製品も市場に出ている。

万一の盗難や紛失にも備える

 モバイルPCの持つリスクである,移動時の盗難や紛失にも備える必要がある。車内や電車の網棚などに放置することなく,肌身はなさず持ち歩くことが第一の対策ではある。しかしながら,ユーザーの心がけだけに頼るのは危険である。万一盗難などに遭っても情報を盗まれないように技術的な対策を施しておくべきである。企業の機密情報が漏れないようにすることが最優先である。

 そのための技術的な対策の一つが,モバイルPCを第三者が起動できないようにしておくこと。オフィスのPCでは,OSへのログインにパスワード認証をかけているだけのところが多いだろう。だがモバイルPCにおいては,それだけでは不安である。より強固な認証を用意しておきたい。例えば,パスワードを知らないユーザーはOSさえ起動できないように,BIOSにパスワードを設定しておきたい。

 また,現在ではUSBキー(USBメモリー)やICカード,指紋などでログイン認証する製品(ソリューション)が多数市場に出ており,価格も下がっている。より強固な認証を実現するには,これらの利用を検討することをお勧めする。

 もう一つの対策が,データの暗号化である。パソコンをある程度知っている人物ならば,盗んだPCを起動できなくても,ディスク装置を他のPCに接続してディスクの中身を取り出せる。このため,情報漏洩防止の観点からは,上述の起動制限よりもデータの暗号化のほうが,より強固な対策といえるだろう。

 具体的な製品名については今回の記事では触れないが,ディスク装置全体を暗号化する製品や,特定のファイル(フォルダ)を暗号化する製品など,さまざまな製品が市場に出ている。最近のノートPCでは,ディスクやファイルの暗号化のための鍵を専用のセキュリティ・チップに格納できるものもある。ディスク装置自体を暗号化できるハードディスクも,もうすぐ市場に出回るという。多数の製品が存在するために選択には迷いそうだが,暗号化についても導入の敷居は以前よりも低くなっている。

 ただし,暗号化製品を導入する際には,PCの性能低下や既存アプリケーションとの互換性などに注意したい。各製品とも,以前と比較すればこれらの問題は大幅には解消されているが,それでも導入前には念入りな検証が不可欠だ。セキュリティを高めることは重要だが,そのために業務に支障が出るようでは導入する意味がない。

何よりもユーザー教育を

 今回の記事では,現在利用されている技術的な対策の中でも一般的なものをいくつか紹介した。しかし,いくら技術的な対策を施しても,セキュリティ対策の意味や重要性をユーザーが理解していないと意味はない。

 例えば,強固な認証を実現するためにUSBキーを使う認証製品を導入しても,モバイルPCと同じケースにUSBキーを入れて持ち歩いていれば,一緒に盗まれることなる。

 前述のように,そもそも「モバイルPCを車内などに放置しない」「モバイルPCを使っている最中に席を離れない」といったことが第一なのである。技術的な対策はあくまでも万一の事態(例えば,モバイルPCを力ずくで強奪される)に備えた“保険”と考えるべきだろう。各所で言われていることではあるが,ユーザー教育が一番の対策なのである。




小杉 聖一 (KOSUGI Seiichi) kosugiアットマークmxd.nes.nec.co.jp
NECソフト株式会社 プラットフォームシステム事業部
ブロードバンドシステムG


 「IT Pro Security」が提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。