第2回 事例に見るUSBキーの利点と欠点
長谷川 晴彦ペンティオ株式会社
代表取締役
2005/12/17
顧客の機微情報をUSBキーで守れ
個人情報の保護に関する法律(個人情報保護法)の全面施行もあり、企業の情報漏えいに対する危機感はかつてないほど高まっている。法律への対応ということでUSBキーを導入する企業も増え始めている。では、実際にどのような企業がどんなニーズでUSBキーを導入しているのかを見てみよう。
金融業は膨大な数の顧客情報を管理しなければならない業種である。しかも扱う顧客情報の中には、機微情報に属する重要度の高い個人情報も含まれている。仮にこうした情報が流出した場合、金融機関は多額の賠償責任を顧客に対して負うリスクを抱えている。金銭面だけでなく失墜した信用を取り戻すことはたやすいとはいいがたいだろう。
問題なのは、多くの営業スタッフにこうした顧客情報にアクセス可能なPCが与えられ、しかもそれを持ち歩いているということである。もしパスワードを書いたメモと一緒にPCを紛失してしまうと、PCのハードディスクに保存された営業スタッフが担当する顧客に関する情報だけでなく、本社や支店が管理する膨大な数の個人情報にもアクセスされ、持ち出されてしまう危険性がある。
そこである大手金融会社は昨年、営業スタッフも含めたすべての社員にUSBキーを配布し、その使用を義務づけた。導入したのは十条電子の製品である。この金融会社の主なニーズは次のようなものだった。
- 営業スタッフが持ち歩くPC、社内で使用するPCに鍵を掛け、鍵を持っていない人間がPCを使用できないようにしたい
- IDやパスワード、PIN(暗証番号:Personal Identification Number)などは使用したくない
- 共有サーバに保管するデータへのアクセスは、USBキーの種類によって制限したい
このニーズを満たすために、一般社員にはPIN入力を必要とせず、USBキーの抜き差しだけでスクリーンセーバーロックと解除ができるデバイスを導入した。また、サーバ上の共有デー タへのアクセス権限を持つ社員にはWebサーバへのアクセスのためのID/パスワードを内蔵したデバイスを配布した。
この事例のユニークな点は、USBキーを使用する際にPIN入力をあえて行わない方向を選んだということだろう。もちろん、十条電子の製品にはPIN入力機能が付いており、初期設定でPIN入力の有無、誤入力を何回まで認めるかなどの設定が可能である。
USBキーは小型で持ち運びが便利であるが、それは同時に紛失の危険性と常に隣り合わせだともいえる。もしPCとUSBキーをセットで紛失したり、盗まれたりした場合、第三者が簡単にサーバにアクセスできてしまう。このリスクを避けるために、多くのUSBキーがPIN入力を採用している。PCとUSBキーがセットで第三者の手に渡っても、PINが分からなければロックを解除することができないからだ。
だが、この金融会社はPIN入力をしない道を選んだ。理由は「PINを導入すると、その管理が煩雑になり、パスワードだけでPCに制御をかける方法と大差がないから」というものだ。確かに営業スタッフがPINを記憶できず、メモに書いて一緒に持ち歩いているようではPINがあろうがなかろうが大差はない。
では、PCとUSBキーをセットで紛失するリスクをどうやって避けるのか。この会社はユニークな方法を選んだ。まず、PCのサイズぴったりの専用カバンを作り、PCの持ち運びには必ずこのカバンを使うことを義務づけた。USBキーをPCに差したままで営業スタッフが移動するのを防ぐためだ。さらにカバンとUSBキーは別々に持ち歩くこと、業務終了後はUSBキーを社内のしかるべき場所に保管し、責任者が管理することなど、細かいルールを決めている。
つまり、デバイスだけに頼って個人情報を管理するのではなく、USBキーはあくまでもパスワードの代替品としてとらえ、それを社内のルールや管理システムによって厳格に管理していこうというものなのである。
 |
| 十条電子のUSBキーラインアップ |
| 【編集部より】 2005年12月17日に公開した時点での記述において、特定の企業を推定できる可能性がありましたので、一部の文章を変更しております。ご了承ください(2005年12月21日) |
配達先住所や配達履歴をUSBキーで守れ
ある大手物流会社が2003年にドライバーも含めた多くの社員に配布したのが、飛天ジャパンの「Feitian PC Security」というUSBキーだ。基本的なニーズは金融会社と変わらない。物流会社も顧客の住所や配達履歴などの情報を大量に管理しており、それがクライアントPC経由で外部に漏れるのを防ごうというわけである。
Feitian PC Securityは、抜き差しによってPCにロックをかけたり、解除したりする機能に加え、PC内のファイルやフォルダの暗号化と復号、PCへのログイン/ログオフを記録するヒストリーログなどの機能を持っている。
この物流会社がこの製品を選んだポイントは、これらの機能を持つUSBキーが、専門知識やドライバ、ユーティリティソフト以外の特別なソフトウェアが不要で、しかも安価で大量導入できるという点だった。中国系企業である飛天ジャパンは、日本で製品の企画とテストを行い、中国で開発と製造を行っているために高品質な製品を安く提供できるのだ。
この製品がユニークなのは、USBキー紛失時に他人のUSBキーでもロックを解除できる“顔パス”的運用ができる機能を持っていることだ。
例えばあるドライバーがUSBキーを紛失したとする。PCにはロックが掛かっていて業務に支障が出る。ドライバーは本社の管理者に申請を行って、解除用のワンタイムパスワードを発行してもらい、それを使ってロックを解除するのが一般的だ。
だが、24時間態勢で配送を行う業種だけに、管理者の負担が大きくなる。そこで、このドライバーの顔を知っている近くの営業所の社員のところに行き、この社員のキーを使ってロックを解除することができるのだ。
ただし、利便性と安全性は基本的に反比例する。解除の方法を複数持つことは、業務上の利便性は高まるが、その半面で第三者に解除されてしまうリスクが高まる。このジレンマをどうとらえるかがUSBキー選びで最も重要なポイントといえるだろう。
 |
| Feitian PC Security |
 |
2/3
|
 |
| Index | |
| 事例に見るUSBキーの利点と欠点 | |
| Page1 身近な存在となったUSBキー |
|
 |
Page2 顧客の機微情報をUSBキーで守れ 配達先住所や配達履歴をUSBキーで守れ |
| Page3 USBキーの3つの弱点 USBキーとUSBトークンの機能的な違い |
|
 |
USBデバイスとセキュリティ 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
