ホーム >
富士通ジャーナル >
先端テクノロジー >
紛失・盗難、Winnyによる情報漏えいを防止仮想化技術を利用したセキュア・ポータブル環境

紛失・盗難、Winnyによる情報漏えいを防止
仮想化技術を利用したセキュア・ポータブル環境

富士通研究所では、モバイルPCの紛失・盗難、Winnyなどによる情報漏えいなどの防止策として、シンクライアント(注1)と同等のセキュリティでネットワークが使えないシーンにも対応するセキュア・ポータブル環境技術を開発しました。

情報漏えい対策とビジネス活動

日本ネットワークセキュリティ協会が発表した「情報セキュリティインシデントに関する調査報告書」によると、2007年に報道された個人情報漏えいインシデントの件数は864件。損害賠償総額は2兆円を超えるといいます。個人情報を含む機密情報の漏えい問題は、今や企業が最も早急に対応すべき課題となっています。

なかでも、PCの紛失・盗難、及びWinny経由で感染したワームやウイルスなどによる情報漏えいの問題は、多くの企業が重点的に取り組みを進めており、その一環として、ノートPCの社外持ち出しを一切禁じたり、持ち出すPCを厳選し、VPN接続でサーバ上のデータにアクセスするといった対策を講じる企業も見られます。

しかしながら、営業担当者がノートPCを客先に持参して商談をおこなうなど、社内データを一時的に持ち出さなければならないケースは依然として多く、実際のビジネス活動に即した対策がとられていないのが実状です。

社内と同等のセキュアな環境を社外で実現

既存の情報漏えい対策は、情報を格納するクライアントPC環境を守ることを実現しています。しかし、情報漏えい対策の強化が求められるなか、今後は安全なPC環境の上で、さらに情報そのものの管理・保護の実現が必要です。
そこで富士通研究所は、多くの企業で課題としている以下の2つのシーンにおいて、企業のセキュリティポリシーにもとづき、セキュアなクライアントPC環境を社外でも維持し、さらに情報そのものを管理・保護できる解決策を開発しました。

モバイルPCの紛失・盗難による情報漏えいの防止

万が一、ノートPCの紛失・盗難が発生しても、データを特定し、そのデータが他人には読めないことを保証できれば、情報漏えいを防止できるだけでなく、企業コンプライアンスの要件の一つでもある説明責任を果たせることにもつながります。このために必要になるのが、持ち出せるデータやデバイスを制限し、持ち出し時にはデータを自動的に暗号化したり、一定時間を過ぎたら自動的に消去するといった、サーバによる管理です。

データをPCではなく、USBデバイスに格納して管理を徹底することにより、PCの紛失・盗難による情報漏えいのリスクが軽減し、またUSBデバイスの機能を使って確実にデータを読み取れなくするといったことが実現できれば、情報漏えいに対する、取引先の不安を解消することができます。

開発委託先でのWinnyによる情報漏えいの防止

社外へのデータを持ち出す先としては、開発委託先も多くあります。セキュリティ対策が不十分なことも多く、Winnyで感染したウイルスソフトなどにより、開発中はもとより、委託終了後に情報が流出するといったリスクもあります。

そこで、委託先のPC上に、仮想化(注2)技術を用いて社内の環境（OS、アプリケーション）を強制的に作成できれば、WinnyなどがインストールされたPCでも自社データを脅威から隔離できます。
また、データを自動的に暗号化し、委託終了後は自動消去すれば、委託先のPCに保存された自社データを確実に保護・回収できます。

ページの先頭へ

セキュア・ポータブル環境を実現する技術

社外でも社内同様のセキュアな情報環境を実現するために、富士通研究所では次にあげる2つの主要な技術を開発しました。

セキュアILM技術

データをサーバ上で管理し、クライアントPCにダウンロードされると自動的に暗号化され、編集したり、一部をコピーした派生文書も自動的に暗号化されます。これらの情報は、一定時間を過ぎたり、契約終了時などに自動消去します。
保護・消去のルールは、ユーザーや持ち出し期間に基づいてサーバ側で設定できます。こうしたセキュアILM(注3)技術により、持ち出されるデータをユーザーが煩雑な操作をおこなうことなく、安全な状態で持ち出し、適切に消去できるようになります。

セキュアな業務環境の構築

仮想化技術を利用し、ユーザーが普段使っているPCにもう1つのOSをブートし、企業セキュリティポリシーを強制適用した状態でデータを操作する環境を構築します。
これにより、Winnyで汚染されたPCの脅威からデータを隔離することができ、またサーバで管理されるセキュリティポリシーをパーソナルアクセスソリューション(注4)技術でブートされたOS環境に設定し、業務環境からはハードディスクへの保存や印刷出力を禁止するなど、企業が定めたセキュリティポリシーをモバイル環境でも自動的に反映できます。

さらに、データを格納するUSBデバイスにセキュリティ機能を搭載し、たとえば、一定期間経過後や認証エラーで情報を自動的に消去したり、デバイスの通信機能を使ってリモートから操作するなど、情報漏えい対策をさらに強化していくことも可能になります。

2つの技術を使ったセキュア・ポータブル環境の画面についてご説明します。

オフィスでクライアントPCからファイルサーバにアクセスしている時は、クライアントPC上に仮想化技術を使って構築された、業務用OSのエクスプローラからは、全てのファイルは自由に閲覧・編集できます。
クライアントPCを持ち出して、オフライン状態にした時の画面には、オフラインで使用可能なファイルのみが表示されており、これらは持ち出すためUSBデバイスに暗号化されて書き込まれたデータです。
これらの情報も、情報漏えいのリスクを低減するため、一定期間で自動的に消去されます。

今後の技術開発

富士通研究所は要素技術の研究に取り組む一方、研究所が培ってきた知見や技術を利用して、システム指向で他社技術も取り入れてお客様のビジネスに直接役立つシステムの研究開発にも取り組んでいます。

特に、今回ご紹介した情報漏えい対策は緊急の課題として位置付け、富士通社内での適用の後、お客様へご提供できるよう、検証を進めています。

今回の2つの技術は、富士通研究所が進めるセキュリティ対策の枠組みとなるものであり、今後はEメールの誤送信による情報漏えい対策や、サーバのログ管理を活用した証跡管理や予兆検出など、誤操作や不正行為をターゲットとした機能拡張も予定しています。

オープン環境やマッシュアップ(注5)などサービス・システムの多様化にともなって、脆弱性の増加が危惧される現在、富士通研究所はセキュリティ機能の強化に一層尽力していきます。

注記

（注1）シンクライアントとは：: クライアントPCには最低限の機能しか搭載せず、アプリケーションソフトやデータをサーバ側に格納して管理するシステム。また、そうした環境下のクライアントPC。
（注2）仮想化（VM）とは：: サーバやストレージ、ネットワークを、物理構成に依存せず論理的に分割または統合してサービスを提供する技術。Virtualization（バーチャリゼイション）あるいはVirtual Machine（バーチャルマシン）。
（注3）ILM（Information Lifecycle Management）とは：: インフォメーションライフサイクルマネジメントの略。情報ライフサイクル管理。情報の作成から消去までのライフサイクルのなかで、かわっていく価値に応じて管理していくこと。
（注4）パーソナルアクセスソリューションとは：: USBキーなど、個人を特定するアクセスキーを用い個人を特定・認証しサーバへセキュアに接続する富士通のセキュリティソリューション。
（注5）マッシュアップとは：: 複数の技術やコンテンツを組み合わせて、新たなアプリケーションやサービスなどを作り出すこと。