ノートPCから“情報漏えいしない”と言える方法は

日経コミュニケーション

2006.08.03

　先週末，久しぶりに車で遠出した帰路のこと。高速道路のサービスエリアに立ち寄り夕食をとろうとした際に，ノートPCが入ったバッグを車の中に置いたままにしていたことを思い出した。

　比較的大規模なサービスエリアだったので，レストランから駐車した場所まで徒歩5分以上かかる。注文した料理がテーブルに届いたばかりだったが，「こんな時に限って車上荒らしに遭うかもしれない」という不安が頭の中を駆け巡った。落ち着いて食事ができそうもないので，席を立ち上がり駐車場へ急いだ。

　筆者はセキュリティ関連の取材や記事を執筆する機会がたびたびある。最近では日経コミュニケーション7月15日号特集「情報漏えいに屈せぬリモート・アクセス構築術」にて，リモート・アクセスするクライアントPCの情報漏えい対策に関する記事を執筆したばかりだったので、余計に不安が募ったのかもしれない。

　ノートPCは，仕事ではなく専ら私的な利用が中心だ。個人情報などは保存はしないように普段から気をつけてはいるが，PCにどんなデータが入っているのかと問われると詳細に説明するのが難しい。万が一盗難に遭った場合に「情報漏えいする恐れは100％ない」と説明できる自信がないのが本音だ。駐車場へ向かう途中も不安で仕方なかったが，幸いにして，ノートPCもバッグも無事であることを確認してようやく胸をなでおろした。

　ITpro読者の皆様の中にも，おそらく筆者と同じような経験をされた方もいるのではないだろうか。

情報漏えい被害の8割強が紛失や盗難

　NPO法人（特定非営利活動法人），日本ネットワークセキュリティ協会が実施した2005年度の個人情報漏えいインシデント調査速報によると，情報漏えいの原因の43％が「紛失・置忘れ」で27％が「盗難」。両者を合わせると実に70％に上る。また情報漏えい原因別被害者数の比率を見ると，紛失・置忘れと盗難の合計が全体の80％を超える。

　こうしたノートPCからの情報漏えいを防止するためには，紛失・置忘れや盗難に遭わないように常日頃から気をつけておかなければならないのは当然として，気をつけていたのにもかかわらず紛失・置忘れや盗難被害が発生した場合に，「情報漏えいする恐れはない」と胸を張って説明できるかどうかが重要になるだろう。

　企業はノートPCのセキュリティ対策には熱心になっているとは言え，ノートPCへのデータ保存に関してはまだまだ課題は残る。NRIセキュアテクノロジーズが今年5月に実施した「企業における情報セキュリティ実態調査」によると，個人情報や機密情報のノートPCへの保存を既に禁止している企業は全体の47.6％と半数には達しない。「検討中」が17.5％，「今後取り組む予定である」が22.5％となっており，12.4％は「予定はない」としている。

　また、社内で厳格なルールが規定されたとしても，従業員個人のわずかな油断によって，個人情報や機密情報が入ったノートPCが紛失したり盗難にあったりする可能性は払拭できない。暗号化はもちろん有効な手段の一つだろうが，暗号化されたとはいえ，情報が流出したという状況は変わらない。

PCのデータをリモート消去できるツールも登場

　そこで，万が一ノートPCが紛失，盗難に遭った場合でも，「漏えいの恐れはない」と説明できるためには，第三者にノートPCが渡ってもまったく重要情報が保存されていない状況であることが必要だ。その代表的手段として，シンクライアントが挙げられるだろう。しかし，ノート型のシンクライアント端末はまだまだ少数だ。また，会社でPCが支給されない場合に個人が購入する端末としてはハードルが高い。そこで，ノートPCで情報漏えい防止に有効なシンクライアント以外の手段を考えてみた。

　一つは，個人情報や機密情報を一切PCに保存しないように努めること。今からデータを保存しないだけでなく，過去に保存したデータも消去しなければならない。ノートPCの中には重要データが保存されていないかどうかを入念にチェックし，もし保存されていた場合には，削除したりノートPCから隔離したりする必要があるだろう。KLabセキュリティの「P-Pointer」のように，個人情報の棚卸しを支援するツールやサービスもある。

　ニつめは，ノートPCが紛失・盗難に遭っても，それが発覚した時点でリモート操作によりデータを消去できるサービスなどを使う方法だ。既に携帯電話やPHSの一部の機種では，端末に保存したデータをリモート消去するサービスが提供されている。例えばエス・ケイのASPサービス「Advanced Shield」は，Windows Mobileが搭載された携帯端末に保存された住所録や発信履歴，Outlookの送受信フォルダなどのデータをリモート操作で消去できる。

　携帯電話だけでなく，PC内のデータも遠隔操作で消去できるソフトが発売される。トリスターの「TRUST DELETE」である。PCが紛失・盗難に遭った場合に，インターネット経由でデータ消去を指示すると，第三者がノートPCをインターネットに接続した瞬間に消去の指示を受信し，データが消去される仕組みだ。現バージョンではPC経由でしかリモート操作できないが，携帯電話から消去指示が出せる仕組みを現在開発中だという。携帯電話とノートPCはデータのリモート消去がすでに現実のものだが，「遠隔データ消去できるUSBメモリー」も実現すれば，ニーズは高いのではないだろうか。

　もう一つ，情報漏えい対策にも有効だと考えられるのが，GPS（全地球測位システム）を搭載したノートPCだ。GPSアンテナをノートPC本体に組み込んで，取り外し不可能にする。万が一紛失・盗難に遭っても，GPSによって即座にノートPCの所在を確認し手元に戻すことができれば，第三者が情報を不正に入手するのを未然に防止するのに一役買うだろう

　ただし，犯人がノートPCに入っている情報をピンポイントで狙って盗んだ場合，リモート消去や追跡を避けるために盗んで即座にインターネットや電波が届かない状況に置かれてしまう可能性がある。そうなると，リモート消去やGPSによる追跡が利用できない場面を想定して，新たな対策を考え出さなければならない。

　ノートPCは，自宅や車の中に置いていると盗難に遭ったり，持ち運んでいると紛失したりするというリスクが常につきまとう。ハードウエアとしてのノートPCが戻ってこないのはあきらめるとしても，せめて中の情報が盗まれるリスクだけは確実に回避できる手段を講じたいものだ。しかし，100％確実だと言い切れる解決手段はそうあるものではない。社外でのノートPC使用は，それなりに緊張感を持つことが必要ではないかと改めて思う。