横山哲也の戦略
-
添付ファイルのパスワード、どうやって伝えていますか?
BitLockerは有用な機能だが…
Windowsのファイル暗号化技術には、EFS(暗号化ファイルシステム)、AD RMS(Active Directory Rights Management Services)、BitLockerドライブ暗号化(BDE)、BitLocker To Goの4種類がある。しかし、残念ながら筆者はどれも日常的には使っていない。
BDEはPCの盗難や紛失リスクに対して極めて有効なソリューションを提供する。また、個人ファイルの保護にはEFSも便利である。特にWindows Server 2003以降の証明書サービスと組み合わせた場合はキー回復も容易である。
しかし、筆者が仕事で使っているPCはデスクトップ。当然持ち歩かないので、盗難や紛失のリスクは低い。ノートPCには機密情報は置かず、必要に応じてVPN接続で社内にアクセスする。電子メールはローカルに保存しているが、Outlookのメールストレージ暗号化機能を使っているので、これをさらに暗号化する必要はないと考えている。
今後はBitLocker To Goを使う機会が増えると思うが、BDEやEFSを使うことはおそらくないだろう。ただし、AD RMSはぜひ使ってみたい。
なぜAD RMSが素晴らしいのか
最近、メールや各種ストレージサービスを使ったファイル交換が増えている。AD RMS以外のファイル暗号化機能は、どれもファイルシステムの拡張なので、これらのサービスには対応していない。
メールで暗号化ファイルを送信するとき、多くの人はZIPファイルの暗号化機能やOfficeアプリケーション自身が持っている暗号化機能を使う。しかし、それらはパスワードベースの暗号化であり、肝心のパスワードを安全に送るにはどうするかという問題が残る。ファイルとは別のメールでパスワードを送るのが最近の流行のようだが、それで万全とはとても思えない。しかも、Windows Vista以降のエクスプローラではZIPファイルの暗号化機能がなくなっているという問題もある。
AD RMSを使えば、安全に暗号化できるし、管理も簡単だ。印刷の禁止といった権利制御も可能で、電子メールの転送禁止なども設定できる。
もちろん課題もある。異なる組織にまたがってAD RMSを使うにはちょっとした工夫が必要になる。別途ライセンス料金が必要なことも導入障壁になるし、事実、Office 2003か2007でしか使えないことも課題。
なかでも最大の課題は、AD RMSのサーバが必要であることと、いったん導入したらやめるのが難しいことであろう。こうしたさまざまな問題のため、筆者の勤務先でも導入していないのが実情である。
AD RMSには多くの欠点もあるが、他に代え難い利点もある。ファイル暗号化の導入を検討している場合は、ぜひ選択肢のひとつとして考えてみてほしい。
横山哲也(グローバルナレッジネットワーク株式会社 取締役技術担当)
1994年頃からWindowsに関するプロフェッショナル向けトレーニングを担当、Windows NT 3.1以降の全てのバージョンを経験した。最近はWindows Server 2008 R2とHyper-Vを主に担当している。
グローバルナレッジネットワークが運営するウェブサイト「G-Notes: Global Knowledge SNS」で、ブログ「千年Windows」を執筆中。主な著書に「Windows Server 2003完全技術解説」(日経BP)、「ひと目でわかるMicrosoft Windows Server 2003ネットワーク設定・管理術」(日経BPソフトプレス)、「実践Active Directory逆引きリファレンス」(毎日コミュニケーションズ)。
-
セキュリティはルール、人、テクノロジで対策を
セキュリティ対策といえば、暗号化技術を応用したシステムやファイアウォールなどのテクノロジに対しての投資を想像しがちであるが、単純にテクノロジ製品だけに投資し頼るのは危険である。僕らフィードパスではこの点に十分留意して...(続きを読む)
-
BitLockerで解決できる課題、できない課題
セキュリティ対策の基本は、「ヒューマンミス」による管理ミスを無くす体制を作ることが最も重要だと考えています。情報漏洩問題が発生しているほとんどの要因は、人によって引き起こされている...(続きを読む)
-
忘年会シーズンのセキュリティ対策
子供が大きくなり、移動に時間がかかるようになったため(一緒に歩いていると彼はすぐに道草をするんです……)、子供乗せタイプの電動自転車を購入しました。一緒に購入したのはそう、子供用のヘルメットです。このように、家庭の父親や母親は我が子のこととなると事故を想定して一生懸命なのに...(続きを読む)
-
添付ファイルのパスワード、どうやって伝えていますか?
Windowsのファイル暗号化技術には、EFS(暗号化ファイルシステム)、AD RMS(Active Directory Rights Management Services)、BitLockerドライブ暗号化(BDE)、BitLocker To Goの4種類がある。しかし、残念ながら筆者はどれも日常的には使っていない。
BDEはPCの盗難や紛失リスクに対して極めて有効なソリューションを...(続きを読む)
-
個人情報を含むデータをどう管理するか
私にとって大切な保護すべきデータは、これまでに書き貯めた原稿と顧客関連情報の2種類に大別できます。前者は立派な財産ですし、うっかり流出させると信頼を失う後者も重要です。これらのデータは、日に数回行う自動バックアップにより、慎重に保管しています。
しかし、それは仕事場での話。外出する機会...(続きを読む)
-
携帯電話のパスワードは4文字という事実
フリーランスでライターの仕事をしていると、「致命的」な情報漏洩につながるようなデータは多くはない。もちろん、交換した名刺のデータ、メール、公開前の商品情報といった、個人情報や機密情報はあるので、きちんとした管理は必要だ。
まず怖いのはマルウェア。基本的なセキュリティ対策...(続きを読む)
-
企業は「個人情報を紛失したが暗号化しているので大丈夫です」といえるか?
できるだけ個人情報を集めない、持ち歩かない、というのが私自身が心がけているセキュリティ対策です。それから、ネットバンクへのアクセスは自宅の有線LANでつながっているPCからのみ、3台使っているPCのアンチウイルスソフトはすべて別のものにする、なんてこともしています。
似たようなことは企業のセキュリティ対策にもいえる...(続きを読む)
-
投資会社ジャフコの厳秘情報はどのように守られているか?
ジャフコでは、USBメモリなどの外付けストレージは原則読み取りのみ。加えてメモリに書き込みの際は全て暗号化しています。PCへのソフトインストールおよびウェブメールのアクセスも原則禁止です。また、社内から社外向けメールの添付ファイルに関しては、全て自動で暗号化を実施しています。厳秘情報を扱う頻度が高いため...(続きを読む)
-
情報の「量」を適切に管理すること
まず、情報やデータを増やさないようにしています。たとえば、顧客から預かる情報は、必要な情報のみに限定し、適切に破棄しています。また、ファイルのコピーを減らし、作業するコンピュータとサーバにのみ保存するように...(続きを読む)
-
“根性”によるセキュリティ対策からの脱却
セキュリティ対策には大きく分けて、人系とテクノロジ系があります。人系とは、人の行動、セキュリティポリシーなどの社内ルール、などのこと...(続きを読む)
こちらでは、読者から寄せられた意見をピックアップして紹介します。
-
PCはワイヤーで固定し、HDDは暗号化している。持ち運び可能な媒体は暗号化ファイルを記録しノートPCと同じく移動の際も肌身離さず携帯するようにしている。
-
>これらの経験から今後、企業に求められる情報漏洩対策としては、定めたルールを「自動化」できるような対応を実施していく必要があると考えております。
細かい部分への意見となりますが、IT業界では、ここ数年少々偏屈的ともいえるぐらいに、情報漏えい対策のシステム化が進んでいると思います。
ただ、どちらかというと極端に偏屈的に自動化したため、人のほうが慣れてくる面もあると思います。必ず出る確認ダイアログも一日に十数回、年に何千回も見ていると、そのうちの何回かは何も考えずに反射的に「OK」をクリックしてしまう状況がでてくると思います。
確かにUSBの自動暗号や、許可されたUSBしかPCが認識しないなど本当の意味での完全な自動化は成功すると思います。
しかし、自動化の過程に人が介在する場合は面倒になりおざなりになるとそこがリスク発生点となってしまうと思います。
>「ルール決め」「人(従業員)」「テクノロジ」
確かに正論なのですが、やっぱり「人」がネックとなってきます。どんなに教育を施して、意識付けができたとしても日常業務における面倒な点はついつい”今回ぐらい”はという油断を生む温床となります。
以上、まとまりがありませんが完璧な自動化によるセキュリティ保護が達成できない現状では、インシデント発生リスクは絶えず存在していることを技術の普及と共に合わせて、リスクの存在も普及していくべきなのかなと思いました。
各分野の賢人と、読者の意見が集う6つのテーマ一覧をぜひご覧ください。