最近,「携帯型ストレージ機器がセキュリティの脅威になる」という内容の調査レポートを読んだ。ポケットに入るUSBドライブ,MP3プレーヤ,携帯型のFireWireドライブなどは容量が増えて高速になり,広く使われるようになった。調査レポートは,この種のストレージ機器の使用を制限することまで企業に提案している。
こんな対策は馬鹿げていると思う。確かに,こういったストレージ機器は大量のデータを保存できる。だが,DVDもその点は変わらないし,CDだって同じだ。DVDやCDの登場以前でも,フロッピ・ディスクにたくさんのデータを入れることができた(当時は保存するデータ自体も小さかった)。さらに,紙の存在を忘れてはいけない。
ここには全く異なる問題が存在する。情報を故意にコピーされて盗み出される問題と,不注意によりコピーした結果漏えいしてしまう問題の2つだ。
前者については,iPodやUSB機器の使用を禁止しても効果はない。なぜなら,情報を盗もうとする人物は,使用禁止の規則など無視するからだ。USBドライブの大きさは親指くらいしかない。建物に出入りする人全員を身体検査するとでも言うのか? このような禁止令は,おろかなセキュリティ対策だ。罪のないすべての従業員をいらつかせてしまうのに,悪事を企てている人物には脅しにもならない。
後者については,ストレージ機器の使用禁止令で防げるかもしれない。だが,わざわざ禁止令を出すほどの価値はない。私のiPodがたまたま重要なファイルをダウンロードして,それをどこか危険なところにアップロードする事故など,どうやったら起こるのだろう? 私が親指サイズのUSBドライブをファイル転送に使うのは,CD-Rより手軽だからだ。危険性はCD-Rと全く変わらない。
冒頭に紹介した調査レポートは,携帯型ストレージ機器がウイルスやワームなどをネットワークにもたらすリスクにも触れている。確かにこれはリスクだ。しかし,ネットワークへのノート・パソコン接続を許可することも,ウイルスをもたらすリスクになるし,自宅からフロッピ・ディスクを持ち込むこともリスクになる。同じようなリスクは他にもたくさんある。この種のリスクからネットワークを守るには,アンチウイルス・ソフトウエアをそこらじゅうにインストールするしかない。従業員が使える機器の種類を制限しても無意味だ。
私が米国防総省の仕事をしていたころ,1日の作業を終えてオフィスから帰ろうとすると,必ず警備員が鞄のなかの書類を調べたものだ。当時,コンピュータはまだ目新しく,真のリスクは「極秘」や「秘密」などのスタンプが押された紙だった。機密文書を持ち出そうとした人物を警備員が捕まえることはあったが,故意に持ち出そうとしていた人は一人もいなかった(故意に持ち出そうとしていたら,書類をもっとうまく隠していただろう)。そうした人たちは,書類が鞄に入っていたことを忘れていたに過ぎない。軍事関係の施設や建物以外では,このような対策は時間の無駄だ。もっとも,軍事施設でも役に立たないだろう。
建物の中に機密情報を留めておくことはとても難しい。コンピュータが登場するはるか昔から,その難しさは変わらない。結局は,従業員を信用するしかない。いくら事前に注意をしても,従業員は情報を盗もうとしたり,間違いを犯したりする。例えば「携帯型ストレージ機器を禁止する」といった注意によって,情報を盗む方法を変更させることはできるが,盗むこと自体は防げない。「盗む方法を変えさせること」と「安全性を向上させること」を混同してはならない。
<http://www.eweek.com/article2/0,1759,1621809,00.asp>
<http://www.computerworld.com/securitytopics/...>
Copyright (c) 2004 by Bruce Schneier.
◆オリジナル記事「Security and Portable Storage Devices」
◆「CRYPTO-GRAM July 15, 2004」
◆「CRYPTO-GRAM July 15, 2004」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
