TOP情報セキュリティ> OSへのログイン保護
個人情報保護法
常識として知っておきたい個人情報保護法

第5回:コストをかけずにできるセキュリティ対策
著者:日本ヒューレット・パッカード  佐藤 慶浩   2006/7/28
前のページ  1  2  3   4  次のページ
OSへのログイン保護

   これはWindowsなどのログインによる保護である。パスワードなどによるユーザ認証をOSのセキュリティポリシー設定で有効にして、ゲストアカウントを無効にしログインを「必須」に設定すればよい。

   一般的に多くの場合は、この保護を行っていると思うが、ブートパスワードやドライブロックパスワードに比べると以下の点で脆弱である。

   別のOSから起動されると、データにアクセスできる場合がある。これは、ユーザごとのデータについてアクセス制御をすることで防げることもある。

   しかし、OS起動ディスク内にパスワードが格納されているため、それを解析されて破られる可能性がある。OSによるセキュリティポリシーの設定が不適切だと、数分でAdministratorのパスワードが解析されてしまってログインできてしまうため、データについてのアクセス制御は無意味になるからである。

   これらのことから、セキュリティポリシーの設定によっては、OSのログイン保護は職場の同僚などによる安易な不正使用を防止することくらいに位置づけるしかない場合もあるのでこれだけで防御しようとするのは不十分だ。


データの暗号化

   これまでの保護は、使用者を制限することにあった。しかし機密性を保護するのに効果的な方法は、データの暗号化である。暗号化していれば、万が一ディスクやデータが盗まれても、その内容を読むことが困難になる。

   日本では、個人情報保護法において「暗号化していても個人情報に変わりはない」という考え方が過度に取り扱われたために、以下のような誤解から暗号化があまり進んでいないように思われる。

個人情報保護法が招いた誤解
図5:個人情報保護法が招いた誤解

   しかし暗号化していれば、データを不正に使用される被害を低減できるのだから、機密性を保護したいデータの暗号化は必須と考えるべきだ。


不正プログラム対策ソフト

   いわゆる、アンチウイルス対策のことである。昨今はスパイウェア対策も同時に行う必要がある。これについては、各ベンダーの製品を購入することを想定するのが適当だと思う。予算の制約がある場合にはフリーソフトという選択肢もあるが、定義ファイルに不備があった場合のことを考えると、業務用途には向かない。


デスクトップファイアウォール

   デスクトップファイアウォールは、パーソナルファイアウォールやパケットフィルタリングなどとも呼ばれる。ネットワーク接続したPCでは、キーボードによる操作を十分に保護していても、ネットワーク側からの攻撃がないとは限らない。これについては、不要なネットワークサービスを立ち上げないなどの設定が基本だが、それをネットワークパケットのレベルで遮断するのが効果的だ。

   Windows XPであれば、OS標準のネットワーク設定でもよいが、予算が許すならば不正プログラム対策ソフトと同様に市販製品の購入も検討するのがよい。


データ抹消ツール

   Windowsでは、ファイルを消去しても実際にはディスク上のデータは消えていない。このことは、間違って消したファイルを復元するツールが市販されていることからも明白だ。消したつもりのものが消えていないと、その保護を管理するのは現実的ではなくなってしまう。

   これを解決するのに効果的な方法は、ファイルを消去する際に元のデータに無意味なデータを上書きし、データを復元不可能にするデータ抹消という処理を行う(「データ抹消」について一般的な定義はないが、ここではそう呼ぶことにする)。

   これについては、市販製品を購入してもよいが、フリーソフトでも十分対応できる。著名なものではEraserがある。操作もわかりやすいので一度試してみるとよい。また消去法も選択することができる。

Eraser - Free secure data erase tool to wipe files on your hard drive
http://www.heidi.ie/eraser/

eraserのインストール後、右クリックメニューに、Eraseが追加される
図6:eraserのインストール後、右クリックメニューに、Eraseが追加される

ごみ箱の右クリックメニューに、Erase Recycle Binが追加される
図7:ごみ箱の右クリックメニューに、Erase Recycle Binが追加される

米国防総省標準方式などを選択可能
図8:米国防総省標準方式などを選択可能
(画像をクリックすると別ウィンドウに拡大図を表示します)

   また企業でこのようなフリーソフトを業務として使用する場合には、ライセンスについて十分注意する必要がある。一部のフリーソフトは業務用途において有償なものがあるからである。何も触れていなければ無償だと思うのは危険であり、業務使用も無償と明記されていない限り確実ではないと考えるべきだ。使用制限については、個々のソフトウェアのライセンス文や約款を確認するべきである。

   執筆時点(2006年7月24日)ではEraserは業務使用も無償と明記してあるが、企業での導入にあたっては各自で確認していただきたい。バージョンアップにて方針を変更する場合もあり、一度確認したら十分ということでもない。逐次確認することを忘れないように注意すべきだ。

前のページ  1  2  3   4  次のページ


日本ヒューレット・パッカード株式会社  佐藤 慶浩氏
著者プロフィール
日本ヒューレット・パッカード株式会社   佐藤 慶浩
1990年日本ヒューレット・パッカード(株)入社。OSF/1、OSF/DCE、マルチメディア、高可用性、インターネット技術支援を経て、米国にてセキュリティ製品の仕様開発に携わった後、情報セキュリティのコンサルティングに従事。また、国内初のインターネットバンキングでトラステッドOSを導入、インターネットトレーディングシステムでは性能改善のためユーティリティコンピューティングも設計。2004年からは、個人情報保護対策室長を務める。社外では、ISO/IEC国際標準セキュリティ委員会委員、情報ネットワーク法学会理事等の他、情報セキュリティ対策や個人情報保護についての講演をしている。現在、内閣官房情報セキュリティセンター参事官補佐を併任。
詳細はコチラ。
http://yosihiro.com/profile/


INDEX
第5回:コストをかけずにできるセキュリティ対策
  業務で使用するモバイルPCのセキュリティ
  ドライブロックによるパスワード保護
OSへのログイン保護
  完全性と可用性の保護対策