強固なセキュリティ対策

情報の盗聴・のぞき見

【脅威04】情報の盗聴・のぞき見

情報の盗聴・のぞき見の脅威

「情報の盗聴」とは、インターネット等のネットワーク上でやり取りされているデータを盗み見られたり、端末をのぞき見されたりすることです。情報が盗聴された場合には、情報漏えいやそれに伴う賠償責任の発生、さらには取引先や顧客からの信頼失墜や取引への悪影響につながる可能性があります。主な原因としては、第三者にオンライン会議URLを不正に取得される、端末にのぞき見防止フィルタを張り付けずにテレワークを実施する、暗号化されていない無線アクセスポイントの利用等です。(※1)

IT管理者が行うべき対策

  • テレワーク端末にのぞき見防止フィルタを貼り付けるよう周知する
  • テレワーク端末から離れる際には、スクリーンロックをかけるよう周知する
  • オンライン会議に参加するためのパスワードの設定は、原則必須とし、URL と合わせて必要なメンバーだけに伝えるよう周知する
  • Web メール、チャット、オンライン会議、クラウドストレージ等のクラウドサービスを利用する場合は、暗号化されたHTTPS 通信であること、接続先の URL が正しいことを確認するよう周知する
  • 無線 LAN ルーターを利用する場合は、セキュリティ方式として「WPA2」又は「WPA3」を利用し、無線の暗号化パスワードは第三者に推測されにくいものにする

Windows 11 Pro搭載PCによる解決策

IT管理者の業務負荷軽減の効果

  • 面倒な事前登録は不要。Windowsにサインインした後、利用者の顔を自動登録するだけで利用できる
  • 背後からののぞき見も検知するため、公共の場でののぞき見による情報漏洩のリスクを減らせる
  • 利用者の再着席時には簡単・確実な本人認証(AuthConductor Client Basic)ですばやくログインするため、作業効率は下がらない
  • IT管理者は遠隔からでも組織なユーザーのカメラやマイク、無線ネットワーク等のデバイスを制御できる

解決策となるハードウェア/ツールについて

解決策1

プレゼンス センシング

利用者がPCから離れた際に画面を自動的にロック

プレゼンス センシングは、利用者がPCから席を離れると画面を自動でロックする機能で、Windows Hello for Business との連携することで利用可能です。これまではスクリーンセーバー等による制御にて、手動ロックを失念しても設定した一定時間で画面ロックをかける制御をしていました。しかし、本機能を利用すればWindows Hello for Business の生体認証と連携するため、PCの安全性を高めるとともに、より迅速かつ確実な対応が実現します。利用者が席を離れる際に画面を自動ロックするだけではなく、利用者が席に戻ってくると自動でサインインも行うため、作業効率が落ちる心配もありません。

データの暗号化が施されていても、すでに起動しているファイルであればだれでも閲覧は可能です。たとえば、PC起動状態での離席や電車内、カフェ等の場所であっても、のぞき見や不正操作による物理的セキュリティリスクを考慮する必要があります。

プレゼンス センシングの設定について詳細はこちらをご覧ください。

このような利用シーンで活用できます

外出先での利用

カフェやコワーキングスペース等で社用PCを開く場合、PC画面をのぞき見されてしまう可能性があります。Windows 11のプレゼンス センシングは、利用者が離席した際に自動でPC画面にロックをかけることで、のぞき見による情報漏えいのリスクを減らすことができます。利用者がPCの前に戻ると自動でサインインするため、作業効率が落ちる心配はありません。

オフィスワークでの利用

テレワークの定着化によりオフィス環境も変化し、フリーアドレスを導入する企業は少なくありません。個人席を決めずに空いている席で自由に仕事するスタイルですが、さまざまな部門が出入りし、面識がない社員同士が働くため、部外者の侵入があっても気づきにくく、セキュリティリスクが高い傾向にあります。機密性の高い資料作成を行なっている際、離席中にPCの画面から情報漏えいすることを防ぎます。

在宅ワークでの利用

テレワークにおいても個人情報やプライバシーにかかわる情報を扱う場合には、家族であっても情報漏えいやデータ紛失のリスクはあります。離席した隙に小さな子供がキーボードを触ってしまい重要なデータを壊してしまうこと等もあります。

背後からののぞき見を自動で検知

富士通が独自開発した「AuthConductor Client 離席・のぞき見検知オプション」は、社外でのわずかな隙に発生する情報ののぞき見や不正操作を防止する機能を提供しております。PCに内蔵されているカメラで検出した顔と服の色を継続的に検知する技術により、利用者が離席する際には画面をオフにしてPCロックし、のぞき見も自動検知して通知します。デスクトップPCにも搭載可能です。

離席検知のイメージ

富士通の最新デバイスに対応する
「クラウド管理におけるセキュリティ強化方法」

Windows 11の新機能ではありませんが、富士通の最新法人PCに対応することとなった「クラウド管理におけるセキュリティ強化方法」をご紹介します。

Windows Autopilot とIntuneを活用して
エンドユーザーによるBIOS設定を制限する
DFCI
(Device Firmware Configuration Interface)

DFCIとは、Device Firmware Configuration Interface(デバイスファームウェア構成インターフェイス)の略称です。この機能を使用すると、IT管理者はWindows Autopilotで展開された特定のデバイスに対して、Microsoft Intuneの管理コマンドをUEFI(BIOS)経由で設定することができ、利用者によるBIOS設定の変更を制限することができます。

例えば、ネットワークブートの設定変更をすることで、利用者がネットワーク経由で別のOS(同じセキュリティレベルを持たないOS等)を起動できないようにすることができます。さらに、IT管理者は特定のハードウェア コンポーネントをリモートで無効にし、利用者がアクセスできないようにすることができます。セキュリティの高い機密情報を保護する必要がある場合は、カメラやマイクの無効化やWLAN/Bluetooth経由でのアクセスを無効にさせたり、ネットワークからの起動を無効にさせたりすることもできます。

これらの管理機能が、最新の富士通法人向けPCにも対応しました。対応可能な機種と対応方法については、以下のページをご覧ください。

  • UEFI(BIOS)の設定の一括管理
    企業のネットワーク内にあるデスクトップやノートPCを管理する場合、DFCIを使用すれば複数台のPCのBIOSやUEFI設定を一括で管理することができます。
  • ハードウェアの制御
    機密性が高いセキュリティエリアにおいて情報を保護する必要がある場合に、たとえば、カメラやマイク、無線ネットワークデバイス(WLAN、Bluetooth)をハードウェアコンポーネントから完全に無効にすることができます。
  • Autopilotで展開が可能
    Microsoft IntuneのAutopilotで展開が可能なため、利用者はPCを受け取って起動した時点からDFCIを使用して管理されている状態となります。

【参考文献】
マイクロソフト社『DFCI管理

  • ビジネスを軽やかにする超軽量約738gウイルス・マルウェア対策を強化!13.3型ノートPC LIFEBOOK U9311/F

    超軽量薄型モデル
    U9シリーズ

  • ゼロトラストネットワーク時代に PCに備えるべきエンドポイントセキュリティ

    パソコンはセキュリティから選ぶ時代に