masahirorの気まま記録簿

個人的な出来事や意見、生活などの記録を思うままにブログに記録

トップ > work > 鉄壁にするだけがセキュリティではない

鉄壁にするだけがセキュリティではない

work 考え事

ちょっと前、うちの会社でPCが盗難に逢う事件がありました。
この事件は、最初から内部の情報を狙った犯行ではなく、単に「財布などと一緒にとられた」だけだったので目的は「ハードの転売」だと思われるが、PCの中には顧客のデータが入ってました。(当然ニュースにもなった)
その事件が起きてから、社内、特にインフラ部門にいる自分は、対策を講じる必要性が出てきました*1。とりあえず、ネットワークでの流失等の対策も必要ではあるが、今回は持ち出したPCの紛失・盗難対策を検討した時のお話。

そこで考えたのが、ハードディスクの暗号化。そしてそれをパスワード等で管理していれば、もし紛失しても情報の流失は最小限に防げるとの対策です。しかし、問題はそれを「どう」行うか。
もちろん、Windowsの機能でもよいが、操作が面倒であり、より重要な情報をもっている層の人ほど操作に疎くなってしまう。全員に操作説明をするわけにもいかず、教えても途中から面倒になって「大丈夫だろう」と手を抜いてしまい、その「ついつい」のうちに紛失してしまう。「運用しにくい仕組み」は返って運用されず危険なのである。


真っ先に思い立ったのは、インストールするだけで無条件に全てを暗号化・パスワードロックしてくれるトータルソリューション。「SafeBoot」など。

PCセキュリティ - 情報漏洩対策・個人情報保護のための暗号化製品
http://www.macnica.net/cbi/

これの利点は、何と言っても「簡単に対策ができる」という点。もちろん導入費用などの問題はあるものの、外に持ち出すPCにインストールさえしておけば、利用者は自動的に丸ごと暗号化されたハードディスクを自然と持ち歩く事になり、データの追加・削除を普段通り行いながらも暗号化される。しかも「セクタレベルで暗号化」してくれるので、利用者が暗号化に関するオペレーションする必要がまったく無い。また、PCのブートからパスワード認証するので、仮にWindowsの認証を「面倒だから」の理由で自動ログインに設定していたりしても問題ない。何といっても、管理者にとって「導入が楽」、利用者にとって「操作が楽」なのだ。


僕は、「これさえあれば、紛失・盗難というリスクの対策にはばっちりだ」と思った。しかし、上司から「ちょっと待て!」とのお言葉が。
この、上司の「待った」は、費用の面の話でも製品に問題があるわけでもなく、それを導入する事で「個々人のセキュリティ意識が低くなる」との懸念であった。

確かにこういった製品は便利である。何も意識しなくてもいいのだから。しかし逆に、セキュリティ上の脅威への意識が薄れてしまい、警戒しなくなってしまうのだ。「自分は意識しなくても守られてるから大丈夫」。確かに目指すところはそこだが、だからといって「PCを持ち出すことは危険な行為」という点まで薄れてしまわれると困る。そうなれば、持ち出す必要が無い場面でも「守られてるから」と気軽に持ち出したり、「盗まれても平気」だからと放置したりするのが当たり前になって、このようなツールの入っていない他のセキュリティを守るべきものにまで同じ扱いをしてしまいかねない(紙の書類・携帯・PDA・仕事以外のPCなどなど)。


そこで検討したのは、USBトークンと呼ばれるUSBメモリ状のものを刺している間だけ暗号化が解除されるトータルソリューション。「Pentio PKI Token」など。

USBトークンでセキュリティ対策を確実に。 〜Pentio PKI USB トークン〜
http://www.pentio.com/service/pki_token.html

前者と違い、PCへのパスワード入力だけでは完結せず、さらにブートレベルから認証するわけでは無いので、非常に面倒になる。PCの紛失・盗難という点では、パスワードは本人に聞かないと分からないが、これはUSBメモリに似ているので、同じバックに入れて保管し、そのバックごと落としてしまえば無駄になってしまう。


一見、前者の方が確実なように思えるが、この「別管理」が重要なのだ。


この場合、利用者は「PCを紛失しない」という意識は当然であるが、「PCと鍵を別々に管理しなければならない」と意識する必要が出てくる。でないと、万が一紛失したときを考えれば安心できないのである。
手間はかかるかもしれない。しかし、「鍵とPCを別のポケットに入れる」=「俺はセキュリティ対策をしている」と感じてもらえるはず。ソフトウエアやOSの設定など面倒で分かりにくいものではない。何もしなくても勝手に暗号化されているわけでもない。ただ、使うときに「USBに挿す」だけでいいのだ。しかし、分かりやすいからこそ継続できる。実際に手を動かす行為があるだけで、PCに疎くても「やってる感」は十分あるのだ。
ささいなことながら、この意識をしてもらうことが大事である。



「勝手にセキュリティに守られている」という他人任せな安心感ではなく、「自分がセキュリティを守る行動をしないといけない」という実際手を動かす事で危機感を回避するやり方のほうが、明示的で理解しやすく、個々人のセキュリティへの意識も高まるものだ。
全員にセキュリティとPCの知識があれば、鉄壁のガードで問題は無い。しかし、疎い人が多いのであれば一手間かける(ただし分かりやすい)やり方が、解釈はどうあれ常に意識を持ってもらえるので、逆にセキュリティを硬くすることができるのかもしれない。


「より簡単に」「より鉄壁に」だけがセキュリティではないと感じたお話でした。

*1:もちろん未然に考えておかなければならないことだが、事件後に一気に意識が高まる会社は多いと思う。