Last Updated 2006/1/4
個人情報保護法が完全施行されたが、漏洩事件はいっこうに減らないようだ。ノートパソコンの「紛失」もあいかわらず多いし(「紛失」と言っているのも本当に紛失したものばかりなのだろうか?)、全国各地で同じようなミスが続いている。
基本的に漏洩事件の原因はミスが多い。
日本ネットワークセキュリティ協会(JNSA)の調べ(http://www.jnsa.org/active/2004/active2004_1a.html)によると、漏洩事件の原因の半分以上はミスである。ノートパソコンのようにどこでも使えるモノをどこででも使った挙げ句に、帰り道網棚に置き忘れたり、置き引きにあったりしてしまう、というわけだ。
その一方で、ノートパソコンに対して何らかのセキュリティ対策を新たに導入した、という企業は増えていないらしい。個人情報保護法施行後、どこまで対策が進んだのか、という出版社のアンケート調査によれば、あれほど多くの事件がノートパソコンに絡んで発生しているのに、特に対策していない企業は驚くほど多い(http://nikkeibp.jp/wcs/leaf/CID/onair/jp/ex03/384228)。
これでは事件が減らないのも無理はない。
しかし、実際のところどうなのか見るために、これまで起きている情報漏洩事件の原因をざっと眺めてみると、やはり目に付くのはノートパソコンの管理ミスだ(http://www.internetprivacy.jp/cgi-bin/mt-search.cgi?IncludeBlogs=1&search=%E3%83%8E%E3%83%BC%E3%83%88)。
営業ツールとしても、自宅でやり残した仕事を片づけるときも、出張するときもノートパソコンは重宝する。それだけに安易に持ち出したりしがちになり、そこで紛失や置き引きという結果になってしまうことも多い。
ではどのようにノートパソコンのセキュリティ対策、漏洩対策について検討、導入すればいいのだろうか?
まずはたくさんありすぎてどれから手を付けたらいいかわからない情報セキュリティ対策、漏洩対策について、整理してみることから始めてみよう。本稿では、漏洩対策を「予防策」と「事後対策」の大きく二つに分類してみることにしよう。
「予防策」とは文字通り、漏洩をさせないことを目的とする対策である。情報の取り扱いルールを決めたり、いわゆる「漏洩防止」目的と言われるソフトウエア、例えば利用者の利用記録を細かく残すソフトウエアや、利用者のパソコンの機能を制限するようなソフトウエアを導入したりすることが予防策である。
一方、「事後対策」は漏洩してしまった後の対策である。例えば個人情報のファイルを暗号化しておき、ノートパソコンごと紛失したとしても解読されないようにしておく、などというものがそれにあたる。広い意味で言えば、漏洩した後に監督官庁にどのような報告を行うか、お客様にどうお知らせするか、メディア対策はどうするのか、といったあたりも「事後対策」に含まれるだろうか。
理想的には「予防」と「事後」の両方で対策をしておきたい。なぜなら「予防」は行ったとしても完璧ではありえないし、といって大事な情報だからといって誰にも見せずに業務はできないからだ。
とはいえ、どちらかといえば「予防」をどうやって行うか、ということをまず考えるべきだろう。なぜなら、予防策をいくつか講じることで、「事後」対策が必要になる可能性を下げることができるからだ。これに対してただ単に記録を取っておいて、文字通り事件が起きた後で記録を解析して原因(犯人)を特定する、というような事後対策では、心理的抑止効果を期待できたとしても可能性自体を下げることは出来ない。
まずは「事故」「事件」発生の可能性を下げることから検討していくべきであろう。
予防策も大きく二つに分類できる。
一つはルールや取り扱い手順を定めるという、人間を管理する目的のもので、もう一つはソフトウエアを導入するなどの技術的な対策である。
情報を取り扱う手順を定型化する目的は、ヒューマンファクターの排除にある。都度セキュリティ上適切に判断できるスタッフばかりであれば、特に手順を定める必要も無いが、実際にはそんなことはまずありえない。手順の定型化はどうしても必要になってくる。さらには、定型化した手順を逸脱しないようにルールを定めて、手順の徹底をはかる。
もう一つは、保護の対象となるデータをソフトウエアなどで守る、いわゆる技術的な対策である。目的は主にその情報(ファイル、データ)へのアクセスを制御することにある。その情報を見てもいい人は誰なのか、編集してもいい人は誰なのか、そうした制御ルールを定めて、そのとおりにソフトウエアを設定してコントロールする。
とはいえ、まずはノートパソコンを使うこと自体の是非から検討すべきだ。やむを得ずノートパソコンを使わなければならない、そういう業務上の要請があるとしても、はたして社員全員が使わなければならないのか、その点も検討すべきであろう。
ノートパソコンは(今あるすべてが)業務上必須なのだろうか?
すでにノートパソコンを大量に導入していたとしても、それをすべてデスクトップ型(据え置き型)に変更してみて不都合が生じないかどうかを考えてみるといいだろう。そのような使い方を強いても特に不便が無いのであれば、そもそもそういうルールにすべきだろう。買ってしまった資産を今さらどうにでもできないということなら、ノートパソコンを物理的に持ち出せないように、勤務机にワイアでくくりつける、という手もある。
しかし、ノートパソコンをお客さんのところに持って行って、そこで積極的に営業活動を行うことに活用したい、ということであれば、使いながら安全を保つ方法を考えることが必要になる。セキュリティは確かに重要だが、それを至上とし過ぎて本業に無理を強いるかどうかは、経営判断としてしっかり考えるべきであろう。もちろんそれ以前に、セキュリティ対策を何ら実施していない、というのは論外だが。
しかし、実際のところ安全にノートパソコンを活用する、ということは可能なのだろうか?
まず、ノートパソコンの使い方を考えるところから始めてみよう。ノートパソコンの用途は何だろうか?出張、営業活動、自宅での活用、出先でのメール処理などが一般的には用途として上がるだろうか。とにかく現在の使われ方について、ここでも列挙してみる。
次に、列挙した用途を眺めながら、共通項を洗い出す。その際ポイントになるのは、「紛失・漏洩したときに困るような大事な情報」を扱っているかどうかである。さらに言えば、「ウチの会社にとって漏洩すると困る情報とは何か」を把握しておかなければ、そうした分析はできないはずだ。
もしそこで、個人情報などを実際に取り扱っていたとしよう。それは本当に必要な「取り扱い」なのだろうか?を単に便利だから、とか、面倒だから、などの理由で安直に取り扱っているだけではないだろうか?業務上必須でないのであれば、そもそもノートパソコンに乗せること自体危険なのだから、ルール化するなり、技術的対策を講じるなりしてそうした取り扱い方は避けるべきだろう。
ちなみに「ルール」というのは、ある意味性善説に則ったものであり、技術的対策は逆に性悪説に基づいていると考えていいだろう。「ルール」は人が守るであろうことを想定しているのであって、技術的対策は人は誰しもミスをするし、ルールを破ろうと考えることもあるから、そういう事態を想定している。安全なのは後者だが、とはいえ技術的対策を導入するためには、予算やノウハウを持った人材の確保などの決して低くはないハードルがある。ルールによる対策も視野に入れながら、自社にとって適正な両者のバランスを考えていくべきであろう。
本論に戻ろう。
どうしても個人情報(などの重要な情報)をノートパソコンで取り扱わざるを得ない、となったときにはどうすればいいだろうか?
その場合は、まずノートパソコンの機能を限定する必要があるだろう。ノートパソコンに限らずどのコンピュータでも同じだが、使う権限を安易に与えすぎる傾向がある。そのコンピュータを管理する管理者の権限と、一般的な利用だけの利用者の権限は当然異なるし、それに応じた権限を付与すべきであるのだが、きちんとその切り分けができていないと「与えすぎ」になってしまうのである。その結果、過剰な権限を利用して一般の利用者がファイル交換ソフトを勝手に導入して、ファイル交換ソフト上で動くウイルスに感染して重要な情報が漏洩してしまうのである(原子力発電所の重要情報などが、まさにこの原因で漏洩している。http://japan.cnet.com/news/sec/story/0,2000050480,20084712,00.htm)。ソフトウエアを勝手に入れて使えるようにする権限を与える必要はほとんどの場合無いはずである。業務で使うソフトウエアも何種類かに限定できるだろう。それさえ不自由なく使うことができれば、業務には支障が無いし、支障があるのならば使い方に問題があると考えた方が良いだろう。
ノートパソコン(コンピュータ)の機能を限定したら、次にやるべきなのは個人情報(などの重要な情報)の取り扱い手順を決めることだ。重要情報をコピーする場合、例えば上長の許可を得ることとし、使い終わったら必ず消去するように手順化する。
ただし、手順化したところで終わりというわけではない。手順を考えるときに抜け勝ちなのは、この例で言えば「上長が居なかったときにどうすればいいのか」ということである。そういう場合の処置も合わせて考えておく。
手順化のときにもう一つ考えなければならないのは、ちゃんと手順通りに扱われているかどうかをチェックすることである。チェックするための記録を残すソフトウエアを導入する手もあるが、導入すべきノートパソコンやコンピュータの台数によっては残念ながら少し高くついてしまうかも知れない。多数のコンピュータに大量の記録を残していたとしても、どうやって消化(分析、チェック)するのかという厄介な課題が存在する。それよりは、記録を残すべきコンピュータは絞り込み、そのコンピュータでのみ大事な情報を取り扱う、とした方が現実的だろう。ソフトウエアを導入できないときの代替手段としては人手をかけて抜き打ちなどでチェックする方法が考えられるが、こちらも絞り込まれていないと膨大な作業になってしまう。
ではもし、重要な情報を扱うノートパソコンやコンピュータを絞り込めず、どうしても全社員のコンピュータで重要な情報を取り扱わなければならないとしたらどうすればいいのであろうか。その場合、「重要な」情報を「全社員」が扱う、という事実自体が自己矛盾していると言えるため、「重要」というものの設定を根本的に考え直すべきであろう。
事後への対策についても考えておこう。ただし、広義の事後対策ではなく、漏洩してしまったとしても読み取れないようにするなどの、ノートパソコンに関わる「事後対策」に限定する。(広義の事後対策についてはまた別の機会に触れようと思う)
ノートパソコン自体が無くなった場合、ノートパソコンの中に格納されているデータを簡単には読み取れないようにしておきたい。それにはいくつかの方法がある。
USBキーなどのように、手持ちのキーを差し込まないとそもそも使うことができないようにしておく、というのが、さしあたっては最も強力な手段であろう。ノートに限らず、コンピュータの中身をOSを使って読み出す場合には、IDとパスワードが必要になる。少し余談になるが、パスワードがかかっていないというのは、この段階で「論外」であると言えるだろう。簡単なパスワードというのもそれに準ずる。パスワードは英数字に記号も組み合わせて、可能な限り難しくすることが最低限必要だが、そこで最大の難関は記憶しておくことになってしまう。しかし、難しいパスワードであってもメモしておけば良いのだ。メモしておき、財布にでも入れておこう。仮にノートパソコンが無くなったとしても、財布が手元にあればいいのだ。USBキーもそれと同じで、パソコンだけ手元にあっても、その中身を見ることは非常に難しくなる。
ただし、パスワードだけの管理をしている場合には、別なコンピュータにノートパソコンの中身のハードディスクを接続されて読み出される危険がある。しかし、これに対してはハードディスクの中身を暗号化しておく手段で対抗できる(暗号化ファイルシステム、データ自体の暗号化など)。USBキーの場合暗号化も同時に行ってくれることもあり、この組み合わせは現実的なコストでは読み取れないだろう。相手が経済的利益目的の犯罪者であれば、コストに見合わないことはやらないはずだ。コストをかけて読み取ろうと努力しても、読み取ることができるかどうかわからないようなことにかまけて時間を浪費するよりも、次のもっと簡単に読み取れる獲物に取りかかる方が効率的に儲かることになるのである。
今回は多くの漏洩事例の原因となっているノートパソコンの漏洩対策について考えた。次回は組織的な取り組みとしての漏洩対策について考えてみようと思う。
(執筆完了:2005年7月23日、日本生命広報誌向け)
Copyright © 2002-2006 Sonoda Michio
●Security INDEXへ