こちらセキュリティ相談室第7回 ノート・パソコンからの情報漏えい(前編)短いパスワードは無いも同然,「鍵」は別の場所に分けて置くセキュリティ相談室は都心にある。室長の四谷博士は歩いて通っている。一方,市谷相談員は毎朝電車で通勤している。今日は,ぎりぎりの時間に息を切らせながら駆け込んできた。 市谷:(はあはあ)おはようございます。 室長:どうしたんじゃ? 市谷君:電車で忘れ物を拾ったんですよ。持ち主らしき人を追いかけて…。 室長:それで,追い付いたんじゃろうな? 市谷:いや,見失ったんですよ。このノート・パソコンなんですがね。これから警察に届けてきます。 室長:ちょっと待て。何か書いてあるようじゃぞ…。「このパソコンを拾得された方は,下記までご連絡ください。薄謝進呈いたします。ふわふわ商事システム部」。電話番号も書いてあるぞ。 市谷:良かった…。 室長:そうじゃ,薄謝の代わりに相談に来てもらうのはどうじゃな? 市谷:無理やり相談させるのはあんまりじゃありませんか? 室長:いや,ノート・パソコンは情報漏えい対策が十分でないことが多いんじゃよ。ノート・パソコンからの情報漏えいについて意識を高めてもらうことも,相談室の重要な役割なんじゃな。 市谷:…それならいいですけど。電話しますよ…。あ,もしもし…。 情報漏えい対策を考えるとき,脅威として目が向きがちなのは内部犯罪や不正アクセス,ウイルスだ。しかし,きっかけとして圧倒的に多いのは,実は紛失と盗難である。日本ネットワークセキュリティ協会の調査報告によると,被害者数の割合で8割を占める(図1)。
ノート・パソコンからの漏えいは多いこの紛失と盗難には,パソコン本体だけでなく,紙やUSBメモリー,DVDなどの紛失や盗難も含まれる。このような漏えい経路ごとに情報に含まれる被害者数を見ると,1位はUSBメモリーやDVDといった外部記憶媒体(51.1%),2位がパソコン本体(23.3%)である。 外部記憶媒体はともかくパソコン本体からの漏えいが多いことに驚くかもしれない。パソコン本体からの情報漏えいは,OSのパスワード設定などによって簡単に防げそうだ。確かに情報漏えいを起こすノート・パソコンはパスワードを設定していないことが多いが,パスワードを設定していても安心はできない。ノート・パソコンには情報漏えいを起こしやすい穴が存在する。そのことを意識して使わないと,だれでも情報漏えいの当事者になってしまうかもしれない。 市谷:…あ,いらっしゃったかな。 流山:(はあはあ)どうも,流山です。 市谷:市谷です。電車から降りたときにお見かけしましたよ。こちらは室長の四谷博士です。 室長:さっそくじゃが,御社のノート・パソコンの情報漏えい対策はどうなっておるのじゃ? 流山:ええ,実はぼくがシステム責任者でして。ノート・パソコンの紛失は避けられないので,情報が漏えいしないよう手は打っています。パソコンの起動時とWindowsログオン時に二度パスワードで認証しているし,ネット接続にはWindowsファイアウォールを使っています(図2)。
室長:パスワードは何文字なんじゃ? 流山:ええっと,特に決まりはありませんが,ぼくの場合7文字ですね。 室長:…ぜんぜん不十分じゃな。 一般的なノート・パソコンの情報漏えい対策は,パスワード認証で不正ログオンできないようにすること(図2の(1))と,ネットワーク経由で読まれないようにファイアウォールを使うこと(同(2))。Windowsパソコンであれば,それぞれの対策は,パソコンやOSの基本機能を活用すれば実現できる。パスワード認証はパソコンのBIOSやWindowsログオン,ファイアウォールはWindowsファイアウォールを使うわけだ。 しかし,BIOSやWindowsの機能は,標準設定で使っている限り心もとない。特に問題があるのは,パスワード認証である。 流山:対策として不十分って…。そんなことないと思うんですが。 市谷:室長,言いすぎじゃないですか。 室長:そんなに疑うなら,このパソコンのファイルを開いてみようかの。 流山:いいですけど,そんなことできるわけないでしょう? 室長:…まずはパソコンの電源を入れて。BIOSのパスワード画面じゃな。ここは,ほいほい,と。 市谷:あれ,ログオンできちゃいましたね。何で流山さんのパスワード知ってるんですか? 室長:今入力したのはメーカー・サポート用のパスワードなんじゃ。 |
