配属されたら、知っておきたい情報セキュリティ(2)

呉井嬢次(Johji Kurei) 2007-05-17 15:45:00

 新入社員(または中途社員)が配属されたら、勤務先から提供(貸与)された情報機器を使うことになる。そんな時、情報セキュリティの観点から注意しておきたい点がある。

しっかり検証してから製品を選ぶこと

 職場には必要な備品が用意されているが、IT備品は別途取り寄せる必要が多い。例えば、バックアップ用の記録媒体(CD-R、ハードディスクなど)は、企業の重要情報が持ち出されるリスクがあるので、ボールペンやノートのように備品棚に置かれることは無くなった。

 10年前では、納品用にフロッピー、テープも筆記用具と一緒に管理された時代もあった。しかし、書き込みに失敗した記録媒体の破棄が不適切で、情報が漏えいする事件もあって、厳重に管理する企業が増え、浸透してきている。大学が用意した甘いセキュリティ運用基準、前の職場のセキュリティガイドラインは、新しい職場では通用しない。これは、パスワードの運用ルールと同様に、しっかり覚えてから仕事をしないといけない。

 そこで失敗しやすいのは、安いIT備品(記録媒体)を購入する場合だ。ネットで簡単に購入できるので、後から領収書を添えて会社に請求することになる。しかし、後日、システム管理者やセキュリティ責任者から「その製品はセキュリティを保てないので、使わないでください」と言われることがある。

 典型的なケースとして、小型の記録媒体(USBメモリ、SDカード)、USB接続のバックアップ用ハードディスクがある。実際に、顧客情報をPCからバックアップとしてUSBメモリにコピーしても、USBメモリ自身の紛失によって情報が漏えいすることが最近多発している。セキュリティ責任者は、敏感になっている。

見直しのかからないセキュリティガイドライン

 このため、セキュリティに敏感な情報セキュリティ責任者は、記録媒体に消去機能を搭載した製品、暗号化機能を搭載した製品をIT調達ルールに定め、運用している。しかし、日本では社団法人 電子情報技術産業協会(JEITA)がガイドラインを2002年に発表したままで、内容の見直しは行われていないのが現状だ。海外では、記録媒体に消去機能を搭載した規格があり、製品に搭載され販売されている。

 (社)電子情報技術産業協会(JEITA)のガイドラインは発表されて5年が過ぎている
 http://it.jeita.or.jp/perinfo/committee/pc/HDDdata/

 企業がIT備品をセキュリティ面から保護する場合、その製品やメーカーを選定した方が管理費用を抑えることができる。例えば、USBメモリだけみても、アイオーデータ、バッファロー、ソニー、プリンストン、イメーション、サンワサプライなどが発売している。

 その中には、暗号化ツールが付属している。暗号アルゴリズムにAESなどを搭載しているものの、アプリケーションとしてみると、セキュリティが脆弱なものがある。これは指紋認証を搭載したUSBメモリでも同じことが言える。指紋認証なので安全に思うかもしれないが、日本の企業で普及しない理由の一つに、脆弱性が挙げられる(もちろん、全ての製品が脆弱と言っているのではない)。指紋認証機能自身は優秀だが、PCに導入する管理アプリケーションがダメだったり、他のアプリケーションと相性が悪く、採用を見送ったケースもある。

 以上からわかる通り、企業では安全な製品を評価した上で、購入する基準を設け、購入している。情報システム部門としては、製品や暗号化ツールを統一することにより、サポートを楽にする利点もある。

 USBメモリを例に挙げたが、外付けハードディスクでも同じことが言える。利用者は仕事する時に音が静かな流体受け軸のディスク、読み書きスピードが速いディスクを欲しがる。でも、セキュリティの観点からは、内部データの確実な消去が期待される。

IT備品を気軽に購入すると、面倒なことになるということ。

 情報システム部門としても、インシデント(情報セキュリティに関する事件、事故)を減らすために、色々な対策を講じている。例えば、貸与されるPCには、情報の書き込みデバイスを無効にしたり、外している企業もある。ある企業では、CD-ROMやDVDの読み込みデバイスを搭載(貸与)し、書き込み可能な装置は付属していないことで大量の情報漏えいを防止できる仕組みだ(PCを安く購入するケチな考えだけではない)。

 最近のハッキング手法としては、複合機に不正アクセスして、内部に蓄積された情報を抜き出す裏技もある。盗んだ情報は、既存の社内ネットワークを経由せず直接電話回線で流すので証拠も残らない(電話番号だけがログに残るが、それで犯人が特定できるとは限らない)。まぁ、配属された社員が複合機を購入することはないので、ここでは省略する。

 色々な脅威が存在することを知っておいて、もし自分がIT備品を購入する時は、セキュリティのポイントを企業はどう考えているのか、検証されたものがあるのか、この辺りを確認さえすれば問題を回避して欲しい。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR