TOP情報セキュリティ> 業務で使用するモバイルPCのセキュリティ
個人情報保護法
常識として知っておきたい個人情報保護法

第5回:コストをかけずにできるセキュリティ対策
著者:日本ヒューレット・パッカード  佐藤 慶浩   2006/7/28
1   2  3  4  次のページ
業務で使用するモバイルPCのセキュリティ

   前回は情報のライフサイクルにそった対策を社内に示す際の、ガイドラインの構成について紹介した。今回はライフサイクルにおける個人情報の保護のうち、モバイルPCにおける情報セキュリティ対策について考えてみる。

   PCにおける情報セキュリティ対策の製品は多く存在するが、それについてはそれぞれのベンダーのWebサイトなどで勉強してもらうことにして、本連載では無償か比較的低額の費用で可能なことに焦点をあてる。そのため、私物のモバイルPCにも対策を義務付けることができるはずだ。

機密性保護のための多重防御

   情報セキュリティ対策は、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3つの観点で保護することについて検討することがよく知られている。それぞれの頭文字を取り、「C・I・A対策」ともいわれる。

   機密性保護とは、情報に対する意図しない参照や流出がないようにすることだ。このために、外付けドライブやUSBメモリなどの使用禁止をして情報の利用を制限したり、端末をシンクライアントに変更して情報を持ち出せなくする対策がある。

   しかし、モバイルPCは主に持ち出して仕事をするためのものであり、過度に使用を制限するのは業務を制限することにもなりかねない。それほどに機密性の高い情報ならば、モバイルPCで仕事すること自体を禁じる方が合理的ともいえる。そこで情報はPCとともに持ち出されることを前提として、PCの盗難や置忘れなどが発生した際に、PC内のデータにアクセスできにくくする対策を紹介する。

   そのような対策は、多重防御(Multi Perimeter)で検討するのがよい。多重防御とは、複数の対策を施すことにより、1つの対策が失敗しても、その他の対策で被害を低減することである。PC端末については、以下のような多重防御を考えることができる。

セキュリティ対策 費用
ブートパスワード保護 無償
ドライブロックパスワード保護 無償
OSへのログイン保護 無償
データの暗号化 無償、場合によって有償
不正プログラム対策ソフト 有償、一部フリーソフトあり
デスクトップファイアウォール 無償、場合によって有償
データ抹消ツールによるデータ消去 有償ソフト、フリーソフトあり

表1:PC端末における対策

   実はこれだけの対策が、ほとんど無償でできることに気づかない企業が多い。これらをすべて実施した上で、追加対策のためにセキュリティ予算を使うのが効果的だろう。


ブートパスワード保護

   ブートパスワード保護は、BIOSパスワードとも呼ばれる。PCを起動する際に、PCを利用可能にするためのパスワード設定のことだ。このパスワードを正しく入力しない限り、PCを使用することができない(図1)。

ブートパスワード保護の画面
図1:ブートパスワード保護の画面

   これによって、パスワードを知らないユーザからのPCの不正使用を防ぐことができる。しかしPC内のデータを防げるかというと必ずしもそうではない。PC内のディスクを取り外し、別のPCに接続するとディスクにアクセスできてしまうからだ。

   この対策は、PCを盗んで売却しようとする者に対して抑止効果がある。なぜなら、このパスワード保護がされているPCは盗んでも売れないからである。またパスワードをブルートフォースアタック(総当り攻撃)で破ることは困難だ。PCベンダーによるが、一定回数の誤入力によりPCの電源が切れる場合が多く、攻撃を続行するには電源を再投入する必要があるためだ。

   ブートパスワードそのものではないが、BIOSによる保護機能としてブートデバイスを制限しておくことも有効である。ハードディスク以外からのブートを禁止しておけば、後述するOSの脆弱性に対して攻撃をされにくくなる。ただしこの設定は、PCのブートディスクが故障した場合に、どうのようにリカバリをするかの手順を決めておく必要がある。

1   2  3  4  次のページ


日本ヒューレット・パッカード株式会社  佐藤 慶浩氏
著者プロフィール
日本ヒューレット・パッカード株式会社   佐藤 慶浩
1990年日本ヒューレット・パッカード(株)入社。OSF/1、OSF/DCE、マルチメディア、高可用性、インターネット技術支援を経て、米国にてセキュリティ製品の仕様開発に携わった後、情報セキュリティのコンサルティングに従事。また、国内初のインターネットバンキングでトラステッドOSを導入、インターネットトレーディングシステムでは性能改善のためユーティリティコンピューティングも設計。2004年からは、個人情報保護対策室長を務める。社外では、ISO/IEC国際標準セキュリティ委員会委員、情報ネットワーク法学会理事等の他、情報セキュリティ対策や個人情報保護についての講演をしている。現在、内閣官房情報セキュリティセンター参事官補佐を併任。
詳細はコチラ。
http://yosihiro.com/profile/


INDEX
第5回:コストをかけずにできるセキュリティ対策
業務で使用するモバイルPCのセキュリティ
  ドライブロックによるパスワード保護
  OSへのログイン保護
  完全性と可用性の保護対策