ノートPCのデータ保全、どうしてますか?
昨今、ノートPCの盗難や置き忘れによる企業の情報漏洩事件が後を絶ちません。大企業ではもちろん、中小企業でも、1度のデータ流出事件が経営を危うくするケースもあります。こうした事件が報道されるたび、注意喚起が呼びかけられますが、人間は間違いを犯す動物です。どんなに注意しても、盗まれたり忘れたりする可能性はゼロにはなりません。そこで、ノートPCを盗まれても、中のデータだけは他人にアクセスできないようにする必要が出てきます。
そのため、大きな企業では、重要なデータはすべて社内のサーバに保管して、ノートPC内にデータは持たないようにしたり、極端な例では、社内でのノートPCの使用を禁止したりするところまであります。しかし、小さな組織ではそんな膨大なコストを負担する余裕はありません。何より、今どき「ノートPCを使わない、重要なデータをノートPCに入れない」では、業務に大きな支障が出てしまいます。
この問題の現実的な解決法のひとつに「データの暗号化」があります。ノートPCの中のデータを全部、または一部暗号化してしまえば、暗号化を解くパスワードを知る人以外、内容を見ることができなくなります。
この方法の問題点は、ファイルにアクセスするたびに、暗号を解いたり再度かけたりする必要があるため、操作が非常に面倒になり、データへのアクセスに時間がかかるところです。また、暗号化ソフトウェアの管理などに特別な知識を要求されるので、あまりコンピュータに慣れていない人には、そのための教育が必要となることもあります。
このように、セキュリティに関わる問題の多くは、守りを強化すればするほど利便性を犠牲にしてしまう傾向があります。問題を解決するには、安全性を利便性をともにある水準をクリアする、バランスのよい技術が求められているのです。
安全性と利便性のバランスをとったシステム
上記のような、ノートPCのデータ保全についての相反する要求をまとめるひとつの考え方として、暗号化とソフトウェア管理を分離する方法があります。暗号化/復号の処理のみをノートPC上で行い、暗号化ソフトウェアや暗号ファイルの管理を専用のサーバで処理、両者をネットワークを介した通信によって同期させることで、面倒な管理作業をサーバ管理者に集約させ、ノートPCのユーザには暗号化を意識させずにデータを安全に保つことが可能となります。
このやり方を実装したソフトウェアが、実はあります。それがSecurity Compactです。
Security Compactはクライアントとサーバに分かれたシステムで、サーバ側で以下の処理を行います。
- クライアントの認証
- クライアント上のファイル暗号化の鍵の発行、管理
- 暗号化ファイルへのアクセス記録
図1 Security Compactのしくみ
一方、クライアントとなるノートPC上ではファイルの暗号化と復号のみが行われます。ファイルはAES方式128ビットで暗号化されており、通常破られることはまずありません。しかも復号に必要な暗号鍵はサーバ上にあるため、ネットからサーバに接続して認証を行わない限り手に入れることはできません。
また、Security Compactの巧みなところは、サーバをあえて暗号化ファイルのファイルサーバにしていない点です。サーバとクライアント間はSSLを使って通信データのやりとりを行いますが、受け渡されるのは128ビットの暗号鍵とアクセス情報だけ。このため、利用する際のネットの負荷も軽く、通信時間も無視できるでしょう。ノートPCを出張先などの出先で使う場合、モバイル通信などの比較的低速な回線を使ってもストレスなく使用可能です。
実際の操作は、Security Compactをインストールしたクライアント上で、暗号化したいファイルを専用のダイアログにドラッグ&ドロップするだけです。後は、暗号化したファイルを開いたり修正する前にサーバと認証を行えば、アプリケーションからファイルを開く際にファイルは自動的に復号され、保存する際に再び暗号化されます。またサーバにログイン中は、暗号化ファイルのコピー&ペーストにはロックがかかるしくみになっています。
図2 Security Compactクライアント側のフォルダ
クライアント/サーバならではの特徴
サーバ側では認証情報や暗号化用の鍵だけではなく、クライアントが暗号化ファイルにアクセスしたログが記録されます。このログはWebインターフェースを使ってわかりやすく表示することができ、検索も可能です。万が一認証情報が漏れたといったケースでも、このログを使って暗号化ファイルにどのようなアクセスがあったかを調べることができます。
また、暗号化ファイルにサーバ側で個別にアクセス権を設定することもできます。アクセス権のないユーザはたとえ認証が通っても、ファイルにアクセスすることはできません。アクセス権は職務権限などにしたがい何段階か設定でき、それぞれのファイルに権限を付与することで管理します。
図3 Security Compactのサーバ管理画面
このサーバソフトウェアは、オープンソースソフトウェアを組み合わせて構成されたもので、一度設定してしまえば、管理作業をすべてWebインターフェースを用いて行うことができます。日々の管理は非常に簡単です。その反面、最初に動作させるためには、いくつかのオープンソースソフトウェアをあらかじめ導入しておく必要があり、オープンソースに慣れた管理者以外には、インストールがやや難しいと言えます。
そこで、販売元の(株)エージーテックでは、Security CompactのサーバをASPとして提供することを検討しています。このサービスを利用すれば、サーバ側のインストール作業はすべて必要ないので、オープンソースに不慣れな管理者の方でも扱うことができます。
先にも述べましたが、セキュリティは強化すればするほど、利便性は犠牲になることが多いと言えます。とくに機能豊富な総合セキュリティソリューションになは、ある程度の利便性に目をつぶるか、管理に相応の人手が求められることになります。Security Compactは「ノートPCのデータを守る」という目的に特化することにより、強固なセキュリティを手軽に提供します。このように「何を、どう守るのか」という目的をはっきりさせることが、実はセキュリティ対策にとって重要なポイントなのだということを、あらためて認識する必要があるでしょう。
Security Compact動作環境
表1
| サーバ |
| OS |
Windows XP |
| Windows Server 2003 |
| Linux(CentOS 5) |
| ソフトウェア |
MySQL 5.0.52 |
| Java(1.5.0_12) |
| Tomcat 5.0.28(JSP/Server 2.4/2.0) |
| Apache httpd 2.2.4 |
| MySQL Javaコネクタ(mysql-connector-java 5.0.8) |
| OpenSSL 0.9.8b |
| 対応ブラウザ |
Internet Explorer 6.0 以降 |
| クライアント |
| OS |
Windows 2000 Professional(SP4 |
| Windows XP ProfessionalまたはHome Edition(SP2) |
| Windows Vista(Starter Edition以外) |
| ソフトウェア |
.NET Framework 2.0 |
| 対応ブラウザ |
Internet Explorer 6.0 以降 |
価格
表2
| 5ユーザ限定版 |
200,000円 |
| 基本ライセンス 10ユーザ |
350,000 |
| 追加ライセンス 10ユーザ |
50,000 |
