連載
» 2011年03月18日 10時00分 公開

自宅作業時のセキュリティを考えるセキュリティ、そろそろ本音で語らないか(19)(2/2 ページ)

[三輪信雄(S&Jコンサルティング株式会社),@IT]
前のページへ 1|2       

「絶対に守るべきもの」と「そうでないもの」の分類を

 とはいえ、例えば顧客情報や顧客の機密情報など、漏れてしまうと顧客や取引先に迷惑をかけてしまうもの、または、自社の業績に深刻な影響を与えてしまうものについては厳重に守る必要があります。

 例えば、シンクライアントであっても、自宅で自由に顧客情報を閲覧して表示できる、という状態はダメでしょう。顧客サポートのために自宅で顧客の個人情報を閲覧しながら、携帯電話や転送電話で仕事を行わせることは好ましくありません。大量の個人情報を閲覧できてしまうと、それを撮影などによってデジタル化すれは容易に現金化できるからです。もともとそんな気がなくても、犯罪に走ってしまうかもしれません。そして、それは会社にとって大きな損害をもたらします。

 一方で注文情報や商品企画などは漏れると大きな損害にはなりますが、現金化は難しいといえるでしょう。それに持ち出しを禁止したとしても、情報は頭に入っていますし、オフィスにあれば印刷もできるはずです。漏れるならとっくに漏れている、とも考えられます。従って大胆な分類をするならば、このような非常事態の中であれば、持ち出しを許可してもよい、と考えてもいいでしょう。もちろん、経営判断ですので、経営者がちゃんとリスクとして許容することを判断しなくてはいけません。

 このように、持ち出しては、あるいは閲覧できては「絶対にいけないもの」と「それ以外」の2つに情報を分類し、その上で自宅作業に許可する業務や情報、社員を分類することであれば、限られた時間の中でも可能ではないでしょうか。そうすれば自宅でもメールを扱える社員とそうでない社員の分類もできますし、データの持ち出しの許可に対する判断も付けられるでしょう。

実効性を持つ「把握」と「消去」がカギ

 このような自宅作業を許可するときには、とかくシンクライアントやリモートデスクトップ、暗号化USBメモリなどの方法論に終始してしまいがちです。しかし実際には、これまで説明したとおり「持ち出しはやろうと思えばやれる」わけです。ですから、お金もかかり不便な方法で、しかもいますぐにはできない手段を考えるよりは、ある程度柔軟に考えることも必要でしょう。

 ここで重要なことは、「誰が何を持ち出したかを把握すること」と、「最終的にはその情報を消去すること」です。

 ありがちなセキュリティポリシーでは、「届出」や「消去」に関するルールがあって、いずれも同じように「やったことになっているはずだ」というような、あるべき論に基づく運用になっています。

 しかし、私の開発した業務ファイル検査ソフトによる自宅PCの検査の実績によると、多くの社員が「消されたはず」のデータを保有しているのです。あるいは、消したつもりでもどこか別のところに残っていたりします。ごみ箱の中身を消去していないケースも少なくありませんし、メールの添付ファイルが一時ファイルとして別のファイル名で残っていることもあります。

 消去作業は、システム的に行う方が効果的に行えます。USBメモリの返却時や自宅作業の終了時に「業務ファイルは消しました」というチェックボックスにチェックを入れた届出書を集めても効力は極めて低く、いずれはそれがP2Pソフトやウイルスで流出してしまうことになるのです。

リモートデスクトップも有効

 システム的な方法論に目を向けてみると、VPNが整備されている会社では、自宅に持ち帰った会社のPCから、社内へのアクセスが可能になります。

 その場合でも、シンクライアントでなければ操作ログを収集するソフトを入れて、操作ログを記録するなどの抑止策は必要でしょう。それでも画面の撮影には打つ手はありませんが、これは先に述べたような分類と割り切りが必要です。

 そのためにも「どのようなファイルにアクセスしたか」「どのような情報を閲覧したか」などの情報を記録に取ることが大事なのです。このような操作ログを取るソフトであれば、製品によっては短時間に導入が可能です。

 リモートデスクトップという手段もあります。SSHなどでトンネリングすることによってインターネット側から社内のPCのデスクトップを利用することが可能です。同様にiPadから社内で立ち上がっているPCのデスクトップ画面を操作できるアプリもあります。

 この方法の場合、問題があるとすれば「節電にならない」ということです。ですが、ある程度省電力のPCであれば、操作がモッサリしていることを除けば、現実的な方法かもしれません。

クラウドサービス利用時の注意点

 また、Webメールのようにクラウドを使うという手もあります。スケジュールなどはクラウドでグループで共有すればとても便利です。メールも社内から転送すればすぐに実現できます。ドキュメントも同様にクラウドの無料サービスを活用すれば、すぐに自宅作業が開始できます。

 クラウドサービスを活用する際に考慮すべきことは「海外に置かれるサービスが多い」ということと、「パスワードが破られると非常に危険」ということです。

 実際Gmailなどでは大量にアカウントが破られて悪用されたことがありますし(関連記事)、Facebookなどでもアカウントが盗まれて悪用されているケースも少なくありません。簡単なパスワードであったり、どこかの会員サイトに同じパスワードを使用したりすると、そのサイトが不正アクセスに遭ってパスワードが盗まれ、それが二次利用されてクラウドサービスのアカウントが乗っ取られ、会社の情報が盗まれてしまうという可能性は決して小さくありません。

 従って、クラウドサービスを使って自宅作業を行う場合には、「安全なパスワードを使いましょう」と掛け声を上げるだけではダメです。システム部が自ら登録して発行したパスワードを使わせることが効果的といえるでしょう。

 同時に注意すべきことは、プライベートで使っているGmailなどのメールアドレスに転送させないことです。これは、先に指摘した、別のサイトからのパスワードの盗難の可能性があるからです。業務専用のアカウントを発行することが望ましいでしょう。

 また、できれば自宅の私物PCは使わせないことが望ましいでしょう。けれどそれがかなわない時には、ウイルス対策とパッチの適用だけは適切に行わせるようにすることが大事です。例えば、セキュリティ対策の状態をモニタリングするソフトを導入することも手段の1つでしょうし、せめてシステム部から各社員にパッチの適用のためのURLや情報を随時提供するなどの手間もかける方がいいでしょう。


 このように、自宅作業を行うにはある程度の割り切りと適切なセキュリティ対策が必要になります。ここで忘れてはならないことは、社内システムへのアクセスログの収集やその監査を怠らないことです。無法地帯になっている、と感じたときから犯罪に走ってしまう社員が生まれてしまうと思わなければいけません。リモートアクセスできる環境さえ準備すればいいのではなく、モニタリングと監査、そして確認を粛々と行うことがセキュリティ運用のポイントになります。

 まだ震災への対応は始まったばかりです。節電に努めながらも安全に、かつ、生産性を落とさない方法を考え、実践していただきたいと思います。

Index

自宅作業時のセキュリティを考える

Page1
計画停電で避けては通れない自宅作業
震災後数日で、大量のPCと情報が「持ち帰り」に
現実を見据えれば「そこそこのセキュリティ」でも

Page2
「絶対に守るべきもの」と「そうでないもの」の分類を
実効性を持つ「把握」と「消去」がカギ
リモートデスクトップも有効
クラウドサービス利用時の注意点


インデックス

「セキュリティ、そろそろ本音で語らないか」連載目次

三輪 信雄(みわ のぶお)

S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント

1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。

そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。

また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。

上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。