2011年、これまでの事例にみる脅威とその対策 第4回


 前回のBLOG更新以降も、新たなセキュリティ事件が次々と報道されています。「どうしてしまったのだろう」と思う一方で、潜在化していた問題が表面化しただけだとも思います。例えば、Verizon社の「2011年度 データ漏洩/侵害 調査報告書[1]」によれば、86%の事案が第三者による発見とされています。つまり、自ら侵入等を発見した例は、わずか14%にすぎません。この調査は、世界的な調査ですが、もしかすると日本では、よりこの傾向が強いのではないかと考えています。
 このように考えるには理由があります。日本におけるセキュリティ対策は、ISMS(Information Security Management System)、個人情報保護法対策、J-SOX対策など、セキュリティマネージメントを中心に進められてきたと思います。これらの取り組みでは、PDCAの重要さが指摘されているのですが、私が知っている限りでは、計測可能な事実(Fact)に基づいてCheckが実施されている例は数社に過ぎず、多くの場合、アンケート形式による確認が行われるだけで、技術的なFactの確認が行われていません。これでは、自組織のネットワークやコンピューターがどのような状況にあるのか知ることはできないですし、不正侵入を知ることもできないと思います。
 運用や、受発注に絡んだ「止むを得ない」事情があることもわからないではないですが、どこか表面的な気がしてしまいます。

 さて、本題に戻りましょう。前回は、盗難・紛失対策を行う前に考えるべきことについて紹介させていただきました。今回は、マイクロソフトが社内で実施している対策から、盗難・紛失対策に相当する対策をご紹介します。

 

ドメイン管理と持ち込み(私物PC等)

 マイクロソフトの社内ネットワークに接続するためには、ドメイン参加する必要がある。PCがドメインに参加すると、自動的にグループポリシーが適用され、既定のセキュリティポリシー(PCの設定)が保証(強制)され、IPsecを使って社内ネットワークに接続をする。この仕組みを使うことで、ドメインに参加していないPCを遮断し、セキュリティポリシーを遵守しているPCだけが、社内ネットワークへの接続できるようになっている。

 具体的な内容については、少々古い内容になるが、「ITショーケース」で紹介しているので、合わせて参照していただきたい[2]

 私物のPCを持ち込んだ場合は、ドメインに参加しない限り社内ネットワークは利用できない。そして、ドメインに参加した場合は、前述のようにグループポリシーが強制的に適用されることになる。これにより、会社支給のPCであるか、私物のPCであるかに係わらず、社内ネットワークに接続するPCが一定のセキュリティレベルを満たしている事を保証する仕組みになっている。

  Wireless Networkについても、証明書をベースにした802.1XとIPsecによる保護を行っている。有線LANの場合は、コンプライアンス違反があった場合に、LANの接続ポートを無効にすることで、コンプライアンスに違反したPCを強制的に排除することができるのだが、Wireless Networkの場合は、このような対策ができない。このため、社内ネットワークに接続するための証明書に加えて、Wireless Network接続用の証明書を発行し、コンプライアンス違反があった場合は、この証明書を無効にすることで対処している。

 

ディスクの暗号化(Bitlocker)

  ドメインに参加したPCには、Bitlockerによるディスクボリュームの暗号化が強制される。Bitlockerは、Windows Vistaから導入されているディスクボリュームを暗号化する仕組みで、Windows 7からは容易にマルチボリュームの暗号化も行えるようになっている。

 例えば、指紋認証や二要素認証によるユーザー認証を行っているPCであっても、ディスクを取り出して、他のPCに接続することで、認証を回避しデータにアクセスすることが出来てしまう。Bitlockerはこの問題を解決するもので、TPMと暗号を使うことで、ディスクを抜き出して他のPCに接続しても、データを保護することができる。

 Bitlockerで暗号化されたデータは、個人情報保護法に対する経済産業省のガイドラインにおける「高度な暗号化等の秘匿化が施されている場合」に該当すると考えている。一方で、紛失後に、紛失したPCが実際にBitlockerで保護されていたことを確認することは出来ない。このため、マイクロソフトが行っているような、グループポリシーによる強制的にBitlockerを適用する等の方法で、紛失したPCが保護されている事を確実にすることが重要となる。

 具体的なBitlockerの技術的な内容に関しては、以下の技術資料を参照いただきたい。 また、日経BP社のITproに連載をさせて頂いた中で、小野寺がBitlockerの詳細に加えて、グループポリシーを使った鍵管理の運用面についても解説をさせて頂いている。

 

Bitlocker ドライブ暗号化
http://technet.microsoft.com/ja-jp/windows/aa905065.aspx

ボリューム・レベルの暗号化機能「Bitlocker」の仕組みを知る Windows Vista Security IN & OUT
事件と課題から考えるWindows Vistaのセキュリティ(第4回)
http://itpro.nikkeibp.co.jp/article/COLUMN/20070611/274342/

 

  なお、Bitlockerで保護していても、全ての場合にデータが保護されるわけではない。誤ってメールの添付してしまった場合や、P2Pなどで流失した場合にはB itlockerではデータは保護されない。複数のユーザーが利用している場合、他のユーザーからのアクセスも保護することが出来ない。

 これらの脅威については、EFS, RMSという暗号化の仕組みが用意されているので、目的や情報の重要さに応じて、これらを組み合わせて利用する必要がある。


  
  

Bitlocker to GoによるUSBメディア等の保護

 Windows 7では、USBメディアに対する暗号化手法として、Bitlocker to Goが用意されている。Windows Vistaでも、USBメディアをNTFSでフォーマットすることで、Bitlockerを利用することが出来たのだが、メディアを抜く際にマウントを解除しないと、ファイルシステムが壊れる懸念があった。Bitlocker to Goでは、FATのままで適用できるため、このような懸念は少ない(いずれにしても、マウントを解除してから抜いていただきたい)。

 Bitlocker to Goは、パスワードによる保護と、スマートカードによる保護が選択できる。

 また、マイクロソフトでは実施していないが、グループポリシーを使って、USBメディアにBitlocker to Gで保護されていないリムーバブルメディアへのアクセスを禁止することも出来る。USBメディアの利用が多い場合は、このような運用形態も検討の価値がある。

 

 

Directaccessによるドメイン管理

 最後に、DirectAccessによる社外からの接続について紹介する。

 マイクロソフトでは、Windows 7が標準のOSとなってから、DirectAccessという技術を使って、外部からの接続を行うようになっている。以前はVPNを使って社外から社内ネットワークへの接続を行っていたが、クライアントVPNで接続しているPCは、ドメインによる管理ができないため、VPN接続時にセキュリティ設定の確認に時間がかかるなどの課題があった。

 DirectAccessを使った場合、社内ネットワークの外であっても、ドメインに参加した状態が維持できるため、社内ネットワークにある場合と同様にグループポリシーの適用等を行い、セキュリティレベルを保証することが出来る。これにより、出張先や自宅にいても、社内にいる時と同じように社内ネットワークを利用することが可能となっている。

 このようなITの利用形態は、子育てや介護などによるワークスタイルの多様化や、東日本大震災のように出社が難しい状況に対応していく上でも、有効な技術と考えている。 

 

まとめ

 今回は、暗号によるデーターの保護と、それを保証する仕組みとしてのドメイン管理とグループポリシーについて紹介いたしました。盗難・紛失対策として、PCの持ち出し制限を行っている組織も多いものと思いますが、必ずしも効果的な方法ではないように思います。特に、IT企業がPCの持ち出しを禁止しているのは、自ら技術的な対策は不可能であると白旗を上げてしまっているようで、釈然としない気持ちがあります。「お客様にご迷惑をかけない」という考え方は重要ですが、「臭い物位は蓋」をして済ませているようにも思えます。何度か、”Security as a Business Enabler”という言葉を書かせていただきましたが、適切なセキュリティ対策を行うことで、「お客様にご迷惑のかからない」ITの利用方法が検討されるべきだと考えています。

さて、次回ですが、今回の調査で実に70%を占める結果となった、公開セグメントの対策について考察します。

 


[1]Verizon社 2011年度 データ漏洩/侵害 調査報告書

http://www.verizonbusiness.com/jp/Products/security/dbir/

[2] ITショーケース・セキュリティソリューション

ドメインの分離によるセキュリティ強化 Microsoft IT での IP セキュリティ (IPsec) の実装

http://technet.microsoft.com/ja-jp/library/bb735174.aspx

 

 


Skip to main content