 |
ハードウェアで起動を不可に紛失・盗難PCを無効化する「インテルAT」 |
| 従業員のノートPC紛失によるリスク――。企業が直面するセキュリティ上の課題は待ったなしだ。一方、セキュリティ強化は業務効率の低下につながるという懸念の声も聞こえている。ここでは読者調査によって明らかになったIT管理者や現場のPC利用者の声を交えながら、最新のセキュリティ・ソリューションの1つを紹介しよう。 |
“ノートPC持ち出し禁止”の矛盾 |
||
 |
||
|
| インテルの坂本尊志氏(マーケティング本部エンタープライズ・プラットフォーム・マーケティング) |
「手元の武器が強力になればなるほど、安全に、効率的に使える環境を用意しなければなりません」。こう述べるのは、インテル株式会社 マーケティング本部のプラットフォーム・マーケティング・エンジニア、坂本尊志氏だ。「小さな箱の中に入っている情報量、その社会的価値は大きくなる一方です」(坂本氏)。
近年、PCの性能は飛躍的に向上し、知識労働者が1台のPCで扱うデータ量も大幅に増大している。ビジネスに必要な情報を容易に持ち歩けるようになった一方、企業にとってPC紛失時のダメージも看過できないものになりつつある。機密情報漏えいによる経済的損失、顧客情報漏えいによる訴訟リスク、信用リスクなどは、扱う情報量に応じて大きくなっていく。
こうした状況から、個人情報保護法への対応の必要性とも相まって、ノートPCの持ち出し自体を禁じる企業も増えている。問題は、持ち出しを禁じることで生産性が低下している可能性があるということだ。
アイティメディアが2010年6月に行った読者調査によれば、ノートPCの社外への持ち出しニーズは回答者の61.6%と高いのに対して、実際に持ち出しているとした回答者は47.7%にとどまっている。持ち出したくても持ち出せない状況がうかがえる。
さらに問題なのは、ノートPCの社外への持ち出しが禁止されている企業でも、このうち実際には25.4%が持ち出してしまっている、という現実だ。業務効率に目をつぶってまで完全に持ち出しを禁じたはずが、少なからぬ現場の社員が実は持ち出していた――、このように、矛盾した状況が多くの企業内に存在しているのではないだろうか。
盗難時にPCを無効化する「インテルAT」 |
||
|
||
「そこでわれわれインテルとして提案させていただいているのが、インテル vProテクノロジー(以下vPro)です。ソフトウェアによるセキュリティ関連ソリューションは数多くあり、柔軟にニーズに対応できますが、あくまでもOSが正常な状態で、さらにその上で必要なアプリケーションやサービスが正しく動作していることが前提となります。“vPro”はハードウェアの仕組みにより、この点を補完するのです。」(坂本氏)
“vPro”は企業向けクライアントPCに高い性能と優れた消費電力、強力な管理機能とセキュリティ機能を提供するインテルのハードウェア技術だ。プロセッサー群に追加された仮想化支援やセキュリティ関連などの機能があり、このうち、持ち出し用のノートPCを強力に守ってくれるのが「インテルAnti-Theft テクノロジー(インテルAT)」(Anti-Theft:盗難防止)という機能だ。
インテルATを使うと、紛失や盗難時にPCを無効化することができる。従来からPC起動時の認証で繰り返し失敗するとロックするというソリューションは存在したが、これをハードウェアで行うことで「OSを再インストールしようと、ハードディスクを差し替えようと、PCが起動しなくなります。チップセット内のマイクロコントローラーによって、システムそのものが無効化されているからです」(坂本氏)という。
チップセットレベルで制御しているため、USBドライブやDVDメディアによる起動もできない。これはハードウェアベースの仕組みだからこそ実現できる機能だ。
PCの盗難そのものを抑止 |
||
|
||
PCの無効化には情報漏えいの防止という意味だけでなく、そもそも盗難を抑止する効果が期待できるという。
「PCそのものには価値があります。企業が使うノートPCなら10万円を超える価値があるでしょう。それを簡単に再利用できるから、PC自体の価値を目的にした窃盗が起こるわけです。ところが、PCを無効化して起動出来なくしてしまえば、盗む価値はほとんどなくなります」(坂本氏)
盗んでも商品価値がないと分かっていれば、そもそも窃盗集団に狙われない。PCは盗んでも再利用できないという認識が一般化すれば、PCの盗難事故は減るはずだ。これがインテルATの狙いであり、インテルATに対応したソフトウェアやサービスを利用しているPCであることがひと目で分かるようなマークの作成も、現在同社で検討中という。
|
| インテルATが提供する機能と、その効果 |
オンライン、オフラインで盗難を検知 |
||
|
||
どういう状態を「盗難された」とみなすかは、複数のパターンに分けられる。まず、起動時認証に連続して失敗した場合がある。この場合は既定回数を超えると直ちにインテルATによりPCはロックされる。
所有者自身が盗難に気づいた場合は、IT管理部門に連絡し、管理者がネットワーク越しに、いわゆる“ポイズン・ピル”を送信して明示的にロックする、ということもできる。
盗難者がポイズン・ピルを恐れてネットワークに接続しないという可能性もある。この場合でも、インテルATでは内蔵タイマーを利用し、一定期間(設定により数日間など)を超えて管理サーバに接続しなければ、紛失の可能性が高いとみなしてロックするという運用も可能だ。
ここで大きなポイントは、たとえロックして“使えなくなった”PCであっても、正しい利用者の手にあるということが分かれば、再び元の状態に復旧するのが容易である点だ。例えばサーバ側で1度だけ有効なトークンを発行し、これを正しいユーザーが入力することで、クライアントPCを非ロック状態に戻すことが出来る。ロック時に表示するメッセージをカスタマイズすることでIT管理部門の電話番号などを表示することもできるという。
インテルATでは盗難状態とみなした時に、暗号鍵等の情報を保存した特別なハードウェア領域を削除、あるいはロックする機能も備えているため、ハードディスクの暗号化ソリューションと組み合わせて利用することで、商品価値という意味でも、情報の価値という意味でも、盗難PCを“ガラクタ”同然としてしまうことができる。インテルAT対応のディスク全体を暗号化するソフトウェアと組み合わせることで、ハードディスクに書かれたデータを即時にまったくのランダムな情報にすることが可能だからだ。
クライアント・サーバ構成で一元管理 |
||
|
||
インテルATはソフトウェア・ソリューションと組み合わせて利用することで、はじめて強力なツールとなる。例えば、ウインマジック・ジャパン株式会社が秋頃に発売を予定している新バージョンのSecureDocは、そうしたインテルAT対応製品の1つだ。
|
| ウインマジック・ジャパン 糟谷宜伸氏(セールスマネージャ) |
「ハードディスクの暗号化というと、パフォーマンスや操作性などクライアントだけに目が行きがちですが、クライアント・サーバで管理することが重要です。管理サーバで暗号鍵を管理し、暗号化の状況を把握し、暗号化されたことをログとして残したほうが、安全に管理できます。PCが盗難や紛失にあっても効果的な対応ができ、組織を守ることにつながります」(ウインマジック・ジャパン セールスマネージャ 糟谷宜伸氏)
SecureDocの管理サーバは、PC以外にMacやOPAL等の自己暗号ドライブも管理できるなどさまざまな機器に対応するが、新バージョンではインテルAT対応PCを正しく認識するという。スタンドアローンだと、たとえハードディスクを暗号化していても証拠がない。これに対してSecureDocのようなサーバ・クライアントのソリューションであれば、確実にクライアントPCの状態を把握、管理できる。例えば、各クライアントPCの稼働状況を一覧し、既定の期間サーバに接続していない端末を「盗難の疑いのあるPC」としてサーバの管理画面で通知して、GUIのメニューから特定のPCを無効化するといったことが行える。このほかにも、SecureDocではパスワードや生体認証によるPCの起動認証を組み合わせて、PCのデータを守る機能を持つ。
「新幹線でノートPCを使ってらっしゃるのは外資系勤務の方と、中小企業という話があります。日本の大手企業は、厳しいセキュリティ・ポリシーの問題から持ち出しづらくなっています。もっとモバイルPCを使っていただき生産性を高める、そのために必要な、安心して持ち出せるインフラを提供していきたいですね」(糟谷氏)
|
| SecureDocの管理画面例。管理対象のクライアントPCにポイズン・ピルを送ることも、GUIのメニューで簡単にできる |
|
| クライアントPCの起動認証画面 |
退社した社員のPCをロックダウン |
||
|
||
PCのライフサイクル全体を見たとき、インテルATによるPCの無効化は、盗難時以外にもシステム管理の役に立つという。
「退社した従業員のPCを無効化するとか、リース切れのPCを無効化する、あるいは学校のように長期休暇時に勝手に使わせないといったように、“正しくない利用を抑止する”という内部向けポイズン・ピルという使い方もあります。サーバの管理者と対話ができれば、遠隔地でもワンタイムパスワードにより即座に復旧できます。正規の利用者であれば容易に利用を再開できるのがポイントです」(糟谷氏)
vProにはインテルATのほかにも、セキュリティ上メリットのある機能が拡張されている。例えば、インテルAES-NIは共通鍵暗号方式のデファクトスタンダードとも言えるAES(Advanced Encryption Standard)を高速化する専用の命令セット拡張だ。AESは無線LANやSSL、ディスクの暗号化など多くのシーンで利用されていて、これをハードウェア支援で高速化できる。
特に初回の全ディスク暗号化時に数時間かかる作業が4割程度短くなるという。もちろん暗号利用時もCPU負荷が下がり、プロセッサー自体が高速になった今では非暗号化時と比べてCPU負荷は3%程度で済むという。ハードディスク暗号化は手間がかかり、処理速度低下も避けられないというイメージもあるかもしれないが、今や全ディスク暗号化も利用しやすくなっているのだ。
***
セキュリティ強化、コンプライアンス強化といえば、とかく業務の効率低下につながるシステムや運用を想像しがちだ。例えばPCの持ち出しを許可制として、こうしたPCだけを特別扱いとするやり方だ。業務アプリケーションやデータについても制限を加えれば一定のセキュリティは保たれるかに見える。しかし実際にはデータをUSBドライブに入れて持ち運ぶなど、1つのセキュリティ上の問題を無理に封じようとした結果、別の問題に置き換わるだけという矛盾を生みかねない。持ち出し禁止ルールの元でのノートPC持ち出し率の高さから、こうしたことはユーザーの“例外行動”はシステム管理の前提とすべきだろう。
運用ルールによるセキュリティの担保や、現場の生産性を下げるような過剰な制限というアプローチではなく、ITシステムの管理はITの力で――。このような発想の転換が求められているのではないだろう。SecureDocのようなインテルAT対応のソリューションは、真のセキュリティ対策を求める企業にとって、業務効率とセキュリティを向上させられる現実的な解となり得るだろう。
|
この記事に興味のある方におすすめのホワイトペーパー
| 関連リンク |
|---|
 |
インテル |
|
インテル vProテクノロジー |
|
インテル Core vProプロセッサー・ファミリーのセキュリティ機能 |
|
ウインマジック |
|
ウインマジックのインテルAT対応発表資料 |
提供:インテル株式会社
アイティメディア営業企画
制作:@IT 編集部
掲載内容有効期限:2010年08月31日
|
| 関連リンク |
|---|
|
インテル |
|
インテル vProテクノロジー |
|
インテル Core vProプロセッサー・ファミリーの セキュリティ機能 |
|
ウインマジック |
|
ウインマジックのインテルAT対応発表資料 |
| 関連記事 |
|---|
|
2010年版vProで企業のPC投資復活を狙うインテル (@IT Newsinsight) |
|
遠隔操作で管理コストを大幅削減、新vProが発表(@IT Newsinsight) |
|
インテル、vProにセキュリティ機能など追加(@IT Newsinsight) |
