前回の BLOG 更新以降も、新たなセキュリティ事件が次々と報道されています。「どうしてしまったのだろう」と思う一方で、潜在化していた問題が表面化しただけだとも思います。例えば、Verizon 社の「2011 年度 データ漏洩/侵害 調査報告書[1]」によれば、86%の事案が第三者による発見とされています。つまり、自ら侵入等を発見した例は、わずか 14%にすぎません。この調査は、世界的な調査ですが、もしかすると日本では、よりこの傾向が強いのではないかと考えています。
このように考えるには理由があります。日本におけるセキュリティ対策は、ISMS(Information Security Management System)、個人情報保護法対策、J-SOX 対策など、セキュリティマネージメントを中心に進められてきたと思います。これらの取り組みでは、PDCA の重要さが指摘されているのですが、私が知っている限りでは、計測可能な事実(Fact)に基づいて Check が実施されている例は数社に過ぎず、多くの場合、アンケート形式による確認が行われるだけで、技術的な Fact の確認が行われていません。これでは、自組織のネットワークやコンピューターがどのような状況にあるのか知ることはできないですし、不正侵入を知ることもできないと思います。
運用や、受発注に絡んだ「止むを得ない」事情があることもわからないではないですが、どこか表面的な気がしてしまいます。
さて、本題に戻りましょう。前回は、盗難・紛失対策を行う前に考えるべきことについて紹介させていただきました。今回は、マイクロソフトが社内で実施している対策から、盗難・紛失対策に相当する対策をご紹介します。
ドメイン管理と持ち込み(私物 PC 等)
マイクロソフトの社内ネットワークに接続するためには、ドメイン参加する必要がある。PC がドメインに参加すると、自動的にグループポリシーが適用され、既定のセキュリティポリシー(PC の設定)が保証(強制)され、IPsec を使って社内ネットワークに接続をする。この仕組みを使うことで、ドメインに参加していない PC を遮断し、セキュリティポリシーを遵守している PC だけが、社内ネットワークへの接続できるようになっている。
具体的な内容については、少々古い内容になるが、「IT ショーケース」で紹介しているので、合わせて参照していただきたい[2]。
私物の PC を持ち込んだ場合は、ドメインに参加しない限り社内ネットワークは利用できない。そして、ドメインに参加した場合は、前述のようにグループポリシーが強制的に適用されることになる。これにより、会社支給の PC であるか、私物の PC であるかに係わらず、社内ネットワークに接続する PC が一定のセキュリティレベルを満たしている事を保証する仕組みになっている。
Wireless Network についても、証明書をベースにした 802.1X と IPsec による保護を行っている。有線 LAN の場合は、コンプライアンス違反があった場合に、LAN の接続ポートを無効にすることで、コンプライアンスに違反した PC を強制的に排除することができるのだが、Wireless Network の場合は、このような対策ができない。このため、社内ネットワークに接続するための証明書に加えて、Wireless Network 接続用の証明書を発行し、コンプライアンス違反があった場合は、この証明書を無効にすることで対処している。
ディスクの暗号化(Bitlocker)
ドメインに参加した PC には、Bitlocker によるディスクボリュームの暗号化が強制される。Bitlocker は、Windows Vista から導入されているディスクボリュームを暗号化する仕組みで、Windows 7 からは容易にマルチボリュームの暗号化も行えるようになっている。
例えば、指紋認証や二要素認証によるユーザー認証を行っている PC であっても、ディスクを取り出して、他の PC に接続することで、認証を回避しデータにアクセスすることが出来てしまう。Bitlocker はこの問題を解決するもので、TPM と暗号を使うことで、ディスクを抜き出して他の PC に接続しても、データを保護することができる。
Bitlocker で暗号化されたデータは、個人情報保護法に対する経済産業省のガイドラインにおける「高度な暗号化等の秘匿化が施されている場合」に該当すると考えている。一方で、紛失後に、紛失した PC が実際に Bitlocker で保護されていたことを確認することは出来ない。このため、マイクロソフトが行っているような、グループポリシーによる強制的に Bitlocker を適用する等の方法で、紛失した PC が保護されている事を確実にすることが重要となる。
具体的な Bitlocker の技術的な内容に関しては、以下の技術資料を参照いただきたい。 また、日経 BP 社の ITpro に連載をさせて頂いた中で、小野寺が Bitlocker の詳細に加えて、グループポリシーを使った鍵管理の運用面についても解説をさせて頂いている。
Bitlocker ドライブ暗号化
http://technet.microsoft.com/ja-jp/windows/aa905065.aspx
ボリューム・レベルの暗号化機能「Bitlocker」の仕組みを知る Windows Vista Security IN & OUT
事件と課題から考える Windows Vista のセキュリティ(第 4 回)
http://itpro.nikkeibp.co.jp/article/COLUMN/20070611/274342/
なお、Bitlocker で保護していても、全ての場合にデータが保護されるわけではない。誤ってメールの添付してしまった場合や、P2P などで流失した場合には B itlocker ではデータは保護されない。複数のユーザーが利用している場合、他のユーザーからのアクセスも保護することが出来ない。
これらの脅威については、EFS, RMS という暗号化の仕組みが用意されているので、目的や情報の重要さに応じて、これらを組み合わせて利用する必要がある。
Bitlocker to Go による USB メディア等の保護
Windows 7 では、USB メディアに対する暗号化手法として、Bitlocker to Go が用意されている。Windows Vista でも、USB メディアを NTFS でフォーマットすることで、Bitlocker を利用することが出来たのだが、メディアを抜く際にマウントを解除しないと、ファイルシステムが壊れる懸念があった。Bitlocker to Go では、FAT のままで適用できるため、このような懸念は少ない(いずれにしても、マウントを解除してから抜いていただきたい)。
Bitlocker to Go は、パスワードによる保護と、スマートカードによる保護が選択できる。
また、マイクロソフトでは実施していないが、グループポリシーを使って、USB メディアに Bitlocker to G で保護されていないリムーバブルメディアへのアクセスを禁止することも出来る。USB メディアの利用が多い場合は、このような運用形態も検討の価値がある。
Directaccess によるドメイン管理
最後に、DirectAccess による社外からの接続について紹介する。
マイクロソフトでは、Windows 7 が標準の OS となってから、DirectAccess という技術を使って、外部からの接続を行うようになっている。以前は VPN を使って社外から社内ネットワークへの接続を行っていたが、クライアント VPN で接続している PC は、ドメインによる管理ができないため、VPN 接続時にセキュリティ設定の確認に時間がかかるなどの課題があった。
DirectAccess を使った場合、社内ネットワークの外であっても、ドメインに参加した状態が維持できるため、社内ネットワークにある場合と同様にグループポリシーの適用等を行い、セキュリティレベルを保証することが出来る。これにより、出張先や自宅にいても、社内にいる時と同じように社内ネットワークを利用することが可能となっている。
このような IT の利用形態は、子育てや介護などによるワークスタイルの多様化や、東日本大震災のように出社が難しい状況に対応していく上でも、有効な技術と考えている。
まとめ
今回は、暗号によるデーターの保護と、それを保証する仕組みとしてのドメイン管理とグループポリシーについて紹介いたしました。盗難・紛失対策として、PC の持ち出し制限を行っている組織も多いものと思いますが、必ずしも効果的な方法ではないように思います。特に、IT 企業が PC の持ち出しを禁止しているのは、自ら技術的な対策は不可能であると白旗を上げてしまっているようで、釈然としない気持ちがあります。「お客様にご迷惑をかけない」という考え方は重要ですが、「臭い物位は蓋」をして済ませているようにも思えます。何度か、“Security as a Business Enabler"という言葉を書かせていただきましたが、適切なセキュリティ対策を行うことで、「お客様にご迷惑のかからない」ITの利用方法が検討されるべきだと考えています。
さて、次回ですが、今回の調査で実に 70%を占める結果となった、公開セグメントの対策について考察します。
[1]Verizon 社 2011 年度 データ漏洩/侵害 調査報告書
http://www.verizonbusiness.com/jp/Products/security/dbir/
[2] IT ショーケース・セキュリティソリューション
ドメインの分離によるセキュリティ強化 Microsoft IT での IP セキュリティ (IPsec) の実装