菅谷 光啓 NRIセキュアテクノロジーズ情報セキュリティ調査室長
増谷 洋 NRIセキュアテクノロジーズ事業開発部長
鴨志田 昭輝 NRIセキュアテクノロジーズ事業開発部
個人情報が漏えいする原因のトップは「パソコンの紛失・盗難」です。パソコンが悪意ある第三者の手に渡っても,データを暗号化しておけば取り出すことが難しくなります。ただし,暗号化に関するルールや運用管理も考慮して実践する必要があります。
個人情報の漏えい事件は,ここ数年で急激に増加しています。NRIセキュアテクノロジーズが集計したところ,パソコンの紛失や盗難による情報漏えいは,2004年に発生した個人情報漏えい事件56件のうちの半数(28件)にも及び,最近の情報漏えい事件の最大要因になっています。中でも簡単に持ち運べるノート・パソコンに最大限の注意を払うべきでしょう。
万が一パソコンが盗まれてしまったときの対策の一つが,パソコンのハード・ディスクに格納されたデータの暗号化です。パソコンのBIOSやWindowsにもパスワードを設定できますが,それだけでは不十分です。パソコンからハード・ディスクを取りはずして他のパソコンにつなげば,内容を読み取れるからです。
Windows自身も暗号化機能を持つ
データを暗号化する代表的な方法が,Windows 2000以降のWindows OSが標準で備えるEFS(暗号化ファイルシステム)と呼ばれる暗号化機能です。EFSを利用すると,指定したファイルやフォルダを暗号化できます(図1)。暗号化されたファイルやフォルダにアクセスするには,暗号化した際に使ったWindowsアカウントでログオンする必要があります。パソコンからハード・ディスクを取り出してほかのパソコンにつなぎ変えても,正しいWindowsアカウントでのログオンに成功しない限りファイルやフォルダは復号化できません。
逆に悪意ある第三者がパソコンを盗んでログオンに成功すると,暗号化したファイルやフォルダを簡単に見られることには注意が必要です。暗号化するファイルやフォルダをユーザーが手動で指定しなければならない点も要注意。例えば,Webブラウザなどが自動生成したキャッシュ・ファイルがあるフォルダを指定し忘れるといったことが起こり得ます。Webで表示した機密情報などがキャッシュに含まれていた場合は,こうした指定ミスが命取りになります。
別の暗号化ツールとの併用も検討すべき
こうしたEFSの欠点を補う手段の一つは,専用のハード・ディスク暗号化ツールを利用することです(表1)。こうしたツールは,Windowsとは別の認証機構を備え,かつOSを含むハード・ディスク全体を暗号化対象にできます。
OSを起動するには,ツールが提供する独自のユーザー認証に成功する必要がありますし,キャッシュ・ファイルの暗号化を忘れるといった事態も防げます。
重要な顧客情報や機密情報は,ハード・ディスクの暗号化ツールをDRM(ディジタル著作権管理)システムと組み合わせて使うことを検討してもよいでしょう。DRMもファイルを暗号化しますが,ファイルを開こうとする際には常にユーザー認証を必要とし,かつユーザー権限に沿った形でしかファイルを利用できません。一定期間が経過すると文書ファイルを開けなくするといった製品もあります。
運用管理面の整備も忘れずに
ただし,ハード・ディスク暗号化ツールは,単に導入すれば済むわけではありません。特に認証手段など使い方とセキュリティ・レベルにかかわる事項をよく検討することが重要です。例えばユーザー認証にパスワードを使うハード・ディスク暗号化ツールがありますが,そのパスワードが漏えいするとセキュリティが大幅に低下します。
こうした問題を回避するには,ユーザー本人しか持ち得ないUSBキーなどのハードウエアなどを使って認証するツールを選ぶのも一つの方法です。USBキーをパソコンに装着している間だけ,暗号化されたデータが自動的に復号化されます。もちろん,ノート・パソコンとUSBキーを同時に盗まれないように,両者を分けて持ち運ぶなどの運用規定が必要です。
暗号化ツールを社員に配布しても,確実にインストールしてくれるとは限りません。暗号化機能を組み込んだうえでパソコンを配布するといった管理策が必要かもしれません。暗号化ツールには,導入されているかどうかを簡単にチェックできるものもあります。こうしたツールを使えば運用管理が効果的になります。
DRMを暗号化ツールと組み合わせて使うにしても,ユーザーや管理者が暗号化するファイルをDRMシステムに登録しなければ効力がありません。結局,ソリューションとそれに合った運用ルールの選択が不可分なのです。
