第1回 日本的なリスク回避策と、それに代わる技術
竹井 淳
インテル株式会社
技術政策本部シニアリサーチャー
TCG日本支部共同代表
2010/8/20
情報セキュリティリスク対応への世界的な動き
インターネットが世界をつないだことにより、情報セキュリティに関するリスクは、世界中でほぼ同じリスクが存在する状況となった。すなわち、ファイアウォールなどで保護されていない環境においては、自分(会社)を守るのは個人(会社)の責任となる。
PCの紛失や、ソフトウエアの脆弱性による情報の漏えいは、日本だけでなく先進国で同じように大きな問題となっており、状況は各国においてそれほど大きな差は存在しない。日本と西側先進国との差異を挙げるとすると、ヨーロッパではプライバシー問題に関する独立組織(Data Protection Authority :DPA)の役割と権限が明確化されており、監査や調査権を持つ強力な組織が設置され、積極的に活用されている点が挙げられる。
DPAを持つ国々では、DPAからのガイドラインなどにより、先進的なセキュリティ対策が行われている例もある。例えば、一部の国においては、PCを紛失した場合において、もしもハードディスクが暗号化されており第三者による読み出し対策が施されていれば、それは個人情報の漏えいとは見なさないと判断している国がある。このような国や地域においては、積極的に暗号化技術が用いられることで、最先端のIT環境による利便性を損なうことなく、効率的に資産を運用できている例が見受けられる。
日本におけるギャップ――利便性を失ってでも安全を取る
日本ではモバイルコンピューティングを早期から官民挙げて推進し、それがIT業界をけん引してきた時期もある。ノートPCの普及率に関してみれば、普及率で世界の先頭を走り続け、ノートPCのトレンドは日本のメーカーが作ってきたといっても過言ではない。しかし、ここで少し気になる話も聞こえつつある。
セキュリティ上の懸念から、企業でのコンピュータの利用環境において、可搬性のあるノートPCではなく、あえてデスクトップPCを導入するという動きが目につき始めた。その結果、この先数年で日本はほかの地域にノートPCの比率で抜かれ、モバイルコンピューティングどころの話ではなくなりそうである。
 |
| 図3 日本では立ち上がりの早かったノートPC活用だが…… |
これは、安全サイドにできるだけ倒すことで、リスクを回避する「日本の文化」がネガティブに出てしまっている一例ともいえるだろう。国が積極的に進めようとしているテレワークは、モバイルコンピューティングとブロードバンドネットワークがなければ実現できないのに、「危ないものは使わない」という姿勢では、実現性が非常に怪しくなってしまう。
脅威を認識する
これからITに関わる者として、心得ておくべきことは何だろうか。
コンピュータやネットワークを利用するうえで、100%の安全があり得ないことは、既知の事実として社会に受け入れられている。私たちがここで理解すべきことは、危険の分類と認識、そしてその危険への対策手段を適切に当てはめていくことであろう。
危険性の分類を行うと、大きく分けて下記の数種類に分類することができる。
- サイバー攻撃による脅威
- ネットワーク経由の攻撃
- 外部から入ってくるウイルスなどによる攻撃
- 紛失/盗難による情報漏えいの脅威
- 物理的に紛失、盗難されることによる不正な情報漏えい
- 紛失、盗難による、保存されているデータの不正な入手
- 内部の悪意あるものによる脅威
- 組織内部の人間による、悪意ある攻撃
- 内部の人間による盗聴、コピーなどによる情報漏えい
本連載では、特に2.の「紛失/盗難による情報漏えいの脅威」に対する技術的な対策の例について紹介する。脅威を理解し対策を行った上で、モバイルコンピューティングの利点を最大限に利用し、日本全体がさらに新しいコンピューティング時代に進むための1つの手段を提示できればと考える。
 |
2/3 |
 |
| Index | |
| 日本的なリスク回避策と、それに代わる技術 | |
| Page1 日本におけるITの普及とセキュリティにかかわる課題 環境の変化が生む「消極的なリスク回避」 |
|
 |
Page2 情報セキュリティリスク対応への世界的な動き 日本におけるギャップ――利便性を失ってでも安全を取る 脅威を認識する |
| Page3 いま使える手段――ストレージの暗号化 |
|
 |
“ノートPC使わない”以外の盗難防止策 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
