「印刷」ボタンを押すと記事が一括印刷できます。印刷しない場合は「ページを閉じる」ボタンを押してください。

  
「eふぁみり セキュリティ連載」 第2回

パソコンにおける情報漏洩対策について

はじめに

昨今、組織からの情報漏洩事件が相次いで発生し、大きな社会問題となっています。漏洩事件を起こした組織はコスト面だけではなく、社会的信用においても深刻な影響を受けることになるため、今や情報漏洩は組織全体で取り組まなくてはならない問題といえます。情報漏洩対策を防止するための方法は多岐に渡りますが、今回の連載では、大きな情報流出経路の一つであるパソコンに焦点を当てて説明したいと思います。

情報漏洩の6割以上は人為的ミスとも言われており、パソコン利用者のさらなるセキュリティ知識の向上や適切な情報漏洩対策が求められています。今回の連載では「今すぐ出来るパソコンの情報漏洩対策」と題して、簡単かつ効果の高いパソコンのセキュリティ対策を、具体的な設定方法と共に紹介していきます。ぜひお使いのパソコンのセキュリティ対策に役立てて頂ければと思います。

ページの先頭へ ▲

1.1 情報漏洩の脅威

去年から今年にかけて大規模な情報漏洩事件が続発しています(図1) 情報漏洩による影響は関係者に対する損害賠償費用や事後処理費用といったコスト面だけではなく、ブランドイメージの低下、社会的信用の失墜といったイメージ面にまで及び、組織に対して致命的なダメージを与えることになります。(図2

また最近では組織にとって重要な情報の多くがパソコンに格納されるようになり、情報漏洩は悪意を持った人間(クラッカー)によるものよりも、内部の人間のミスによって発生することが多くなってきています。

このような人為的ミスによる情報漏洩を防ぐためには、利用者がセキュリティに対する正しい知識を身につけ、ミスをした場合でも漏洩につながらないように2重3重のセキュリティ対策を行うことが大切です。

図1 続発する情報漏洩事件(例)
図1 続発する情報漏洩事件(例) 解説図


図2 情報漏洩が組織に与える被害例
図2 情報漏洩が組織に与える被害例 解説図
ページの先頭へ ▲

2. 情報漏洩対策とは(全体概要)

まずはじめに組織における情報漏洩対策の概要について説明いたします。

組織における情報漏洩対策には大きく分けて外部からの攻撃(クラッカーなど)に対する対策と、内部からの漏洩に対する対策があります。情報漏洩事件の多くは内部からの漏洩によるものと言われており、今や内部漏洩対策は欠かせないものとなっています。(図3

内部からの漏洩に対する対策を考えるに当たり、ポイントとなるのは性善説性悪説という考え方です。(図4

性善説では、悪い人間はいないという前提で社員は自分の担当する範囲の情報にしか興味を示さない、つまり機密情報を外に持ち出さないと考えます。このため、誰もが全ての機器や情報にアクセスができる環境が作られることになります。
それに対して性悪説では、社員は機密情報の持ち出しを狙う危険な存在と考えます。そのため、担当する範囲の情報にしかアクセスできないよう制限し、組織内の行動は全て記録され追跡できる環境が作られることになります。
情報漏洩対策という点から考えると「性悪説」に従って対策を行うのがベストであるように思いますが、社員の行動を完全にコントロールすることは難しく、運用にも莫大な費用が必要になります。さらにアクセス制限によって情報漏洩が全て防げるようになるわけではありません。

このように情報漏洩対策は「性善説」と「性悪説」、どちらか一方だけに基づいた運用ではうまく進めて行くことができません。従って「性善説」に従いつつも「性悪説」も考慮し、リスクが大きく、かつ対策のパフォーマンスが高いところから順に対策を進めて、内部犯罪のリスクを低減させていくのが現実的な対策となります。

図3 内部からの情報漏洩対策状況
図3 内部からの情報漏洩対策状況 グラフ


図4 情報漏洩対策の戦略
図4 情報漏洩対策の戦略 解説図
ページの先頭へ ▲

2.1 情報漏洩対策のステップ

次に実際の情報漏洩対策の進め方について説明いたします。
一般的に情報漏洩対策の進め方は、費用対効果(対策費用と漏洩による影響度、発生頻度)をもとに考えていきます。(図5


ステップ1: 基盤強化対策

発生した場合の被害が大きく、対応に要する費用が低いものについて対策を行います。
主に物理的な基盤の整備を中心に行います。

  1. 情報の区分
    組織内の情報を機密度に応じて区分し、取り扱い方法の取り決めを行います

  2. ゾーニング
    建物内部のフロアをいくつかのゾーンに区分し、入退室管理を行います

  3. アクセス制御
    重要な情報に対してID/パスワードを設定し、利用制限を行います


図5 情報漏洩対策のステップ
図5 情報漏洩対策のステップ 一覧



ステップ2: 個別リスク対策

次に発生した場合の被害が大きく、対応の費用が高いものについて個別に対策を行います。

  1. ネットワーク盗聴対策
    ネットワークを流れる重要な情報を、暗号化などの技術を使って盗聴から守ります
    (例)VPN通信、SSL通信など

  2. インターネット悪用対策
    WebやEメールなど、インターネットの悪用による不正な情報の漏洩をシャットアウトします
    (例)URLフィルタリング、Eメール発信の記録など

  3. 内部犯罪対策
    パソコンの機能制限、内部教育徹底などで、内部のアクセスコントロール強化を支援します
    (例)パソコンの不正操作の記録、プリンタ使用の制限など

  4. 機器盗難対策
    ノートパソコンの盗難、紛失などによって第三者に機器が渡った際の情報漏洩を防ぎます
    (例)パソコン内のデータ暗号化、セキュリティボタンによる利用者認証など

これらの技術的な対策と組織的な対策をバランスよく行いながら、情報漏洩対策を進めていくことになります。


図6 情報漏洩対策のカテゴリー
図6 情報漏洩対策のカテゴリー 分類図
ページの先頭へ ▲

3. パソコン側に求められる対策とは

情報漏洩の約8割は内部からの漏洩と言われており、その内訳においては内部の人間による故意の犯行に加え、パソコンの盗難・紛失といった過失による漏洩も大きな割合を占めています。
以下では、このような過失による情報漏洩を防ぐための「今すぐ出来るパソコンの情報漏洩対策」として、技術面の対策の「アクセス制御」、「データ暗号化」を、意識面の対策として「セキュリティ意識の向上」を説明します。これらの対策を行うことでパソコンからの情報漏洩を完全に防げるというものではありませんが、盗難・紛失時の情報漏洩リスクを大きく低減させることが期待できます。また、「自ら対策する」ことが、セキュリティ意識の向上につながり、ひいては潜在的な情報漏洩の予防にもつながりますので、ぜひご活用いただければと思います。

ページの先頭へ ▲

3. 1 アクセス制御

パソコンにおける情報漏洩対策の基本は、第三者を重要な情報にアクセスさせないことです。
そのためパスワードによる利用者確認とアクセス制限の設定を行います。

(1) 起動時の利用者確認

起動時にパスワードによる利用者確認を行い、第三者によるパソコンの使用を制限します。
さらにパスワードは2重、3重に設定して安全性を高めます。

■Windowsログオンパスワード

Windowsにログオンするためのパスワードです。 このパスワードが設定されていないと、誰でも自由にパソコン内の情報にアクセス出来るようになってしまいます。必ず設定すると共に、可能な限り強固なものを使いましょう。


■BIOSパスワード

BIOSとはパソコンを起動したときに一番始めに読み込まれて、マウス、キーボードなどの周辺機器の動作を制御するプログラムの事です。
BIOSパスワードとはこのプログラムを起動するためのパスワードです。これを設定することでパソコンの基本的な設定(BIOS設定)を操作されるのを防ぐことができます。
また、前述のWindowsログオンパスワードと合わせれば、パソコンを利用するために2つのパスワードが必要になるため、盗難時の情報漏洩対策に効果を発揮します。

  • 設定方法 (例:富士通製のパソコンの場合)
    「FUJITSU」のロゴマークが表示され、画面の下に

         「<ESC>キー:自己診断画面/<F12>キー:起動メニュー/<F2>キー:BIOSセットアップ」

    と表示されている間に、【F2】キーを押すと、BIOSの設定画面が表示されます。
    その後、「セキュリティ」タブを選択し、「管理者用パスワード」を設定を行います。

■ハードディスクパスワード

ハードディスクを他のパソコンへつないで中身を読み出すことを防止するためのパスワードです。
本体起動時にパソコン本体内のパスワードと、ハードディスク内のパスワードの相互認証を行うため、パスワード設定した装置以外での不正なハードディスクの使用を防止できます。

  • 設定方法(例:富士通製のパソコンの場合)
    BIOSパスワードの項で紹介した方法でBIOSの設定画面をします。その後、「セキュリティ」タブ内の「ハードディスクセキュリティ」を選択し、「プライマリマスター」を「使用する」に変更します。


(2) 起動後の利用者確認

起動時のパスワード設定だけでは、パソコンの起動後に盗難・紛失にあった場合に利用者の確認を行うことができません。そのため起動後にもパスワード確認を行う設定を行います。

■スクリーンセーバー復帰時のパスワードによる保護

スクリーンセーバー画面から復帰する際にパスワードを求める設定です。
離席時にパソコンが盗難にあった場合でもパスワードによる保護が可能となります。


■スタンバイ回復時のパスワードによる保護

パソコンを数十分放置しておくと自動的に電源が切れる設定になっている場合があります。この電源が切れた状態をスタンバイ状態といいますが、この状態から回復する際にパスワードを要求する設定です。
スタンバイ状態のままでパソコンを紛失した場合でも情報漏洩を防ぐことが出来ます。



(3) 機密性の高いフォルダ、ファイルのアクセス制限

重要な情報が入ったフォルダ、ファイルにアクセス制限をかけて不正なアクセスを防ぎます。

■フォルダ・ファイルへのアクセス権限の設定

OSの機能を利用して重要なフォルダ・ファイルにアクセス権限を設定します。
これにより決められた人だけがフォルダやファイルにアクセスできるようになり、一台のパソコンを複数の人で使用している場合や、ネットワークを経由した不正なアクセスを防ぐ際に効果を発揮します。

図7 アクセス制御
図7 アクセス制御 イメージ図 クリックすると拡大図が開きます。

ページの先頭へ ▲

3. 2 データ暗号化

次に、パソコンの盗難などによって重要な情報にアクセスされた場合の対策として、データの暗号化を行います。

機密性の高いデータの暗号化

■パソコン内のフォルダ、ファイルの暗号化

重要なデータが入ったフォルダ、ファイルは一箇所にまとめ、OSの機能を使用して暗号化を行います。暗号化されたデータは他のユーザが読むことが出来なくなるため、パソコンの盗難時にハードディスクを取り外された場合でも、機密の漏洩を防ぐことができます。ただし、OSの暗号化機能が使用できるのはNTFSファイルシステム(注)を使用している場合に限ります。それ以外のファイルシステムを使用している場合には、別途暗号化ソフトを導入して暗号化を行うようにします。

(注: Windows NT4.0、2000またはXPなどで使用されます)


■メール添付ファイルの暗号化

機密情報をメールに添付する場合には、必ず暗号化を行います。
添付ファイルの暗号化には、別途暗号化ソフトが必要になりますが、 Microsoft Word、Excel、PowerPoint ファイルの場合は、ファイルの保存時に単体で暗号化+パスワードによるロックをかけることができます。
暗号化ソフトが未導入で添付ファイルが上記の形式でない場合には、zip形式などで圧縮を行い解凍のためのパスワードを設定するようにしましょう。


■可搬媒体(USBメモリ、MO、フロッピーなど)内のファイルの暗号化

USBメモリやMOなどの可搬媒体は小型、軽量で持ち運びやすい反面、紛失による情報漏洩の危険性があります。そのため格納するデータは必ず暗号化を行います。暗号化には別途暗号化用ソフトを導入するか、媒体に暗号化用のアプリケーションが付属している場合がありますので、それを利用して暗号化を行いましょう。

  • 格納するデータがMicrosoft Officeのファイルの場合は、上の「メール添付ファイルの暗号化」の方法で行います。
    別途用意したソフトを使用しての暗号化については、各製品毎のマニュアルを参照してください。

ページの先頭へ ▲

3. 3 セキュリティ意識の向上

以上、アクセス制御、データ暗号化といったパソコンにおける技術的な対策を紹介しましたが、これらはあくまで第三者にパソコンやデータを盗まれた時の保険的な対策にすぎません。情報漏洩対策を行う上でもっとも大切なことは、そもそも情報を盗まれないようにすることです。そのためには日頃からセキュリティの意識を高く持ち、情報漏洩につながるような行動を避けることが大切です。以下に、日頃から守っていただきたいセキュリティのポイントを挙げました。これらのポイントを守るように心掛け、セキュリティ意識の向上に努めるようにしましょう。

(1) ID / パスワード管理

■脆弱なパスワードの禁止
パスワードは以下の決まりを守って設定するようにしましょう。
  1. 誕生日や住所等から類推できるパスワードを使用しない
  2. 最低8文字以上で英数字、記号($!&など)を混在させる
  3. 単純な名詞(人物、地名、団体名等)をつけない

■定期的更新、パスワードのメモ化禁止
パスワードは定期的に変更しましょう。 また、メモや付箋等に記録したパスワードを第三者が容易に見ることの出来る場所に置かないようにしましょう。


(2) 置き忘れ、盗難の防止

■外出先でのノートパソコン、可搬媒体(USBメモリ、MO、フロッピーなど)の取り扱い方法

外出時にはノートパソコンや可搬媒体を手放さないようにしましょう。
多くの漏洩事件は電車の網棚への置き忘れ、車上荒らしなどから起こっています。極力、これらの場所へ置かないことを心掛けましょう。また、事務所で使用しているノートパソコンは人の目に触れない場所に保管し、施錠するようにしましょう。



(3) 印刷物の取り扱い

■機密文書の印刷管理、重要廃棄の徹底等

機密文書の印刷を行ったらすぐに取りに行くことを心掛けましょう。
また重要書類はシュレッダーなどを利用して、第三者に情報が漏れないような状態にしてから廃棄しましょう。

図8 暗号化とセキュリティ意識の向上
図8 暗号化とセキュリティ意識の向上 クリックすると拡大図が開きます。

ページの先頭へ ▲

4. まとめ

以上、組織における「情報漏洩対策の概要」と、「今すぐ出来るパソコンの情報漏洩対策」の2点についてご説明いたしました。

情報漏洩事件が大きな社会問題となっている今日、情報漏洩はシステムの管理者だけが取り組むものではなく、利用者側でも取り組まなくてはならない問題です。パソコンの盗難、紛失という身近な問題が情報漏洩事件という大きな問題につながることを心に留め、日頃からセキュリティの意識を持って適切な対策を行うように心掛けましょう。

ご参考URL

  1. 富士通のセキュリティソリューション
    http://segroup.fujitsu.com/secure/

  2. FUJITSU JOURNAL「情報漏洩対策ソリューション」
    http://journal.fujitsu.com/267/top_security/index.html

  3. マイクロソフト ヘルプとサポート
    http://support.microsoft.com/

  4. Windows XP −セキュリティ & プライバシーの保護−
    http://www.microsoft.com/japan/windowsxp/pro/business/feature/security/

ページの先頭へ ▲
 
All Rights Reserved, Copyright(C) FUJITSUファミリ会