端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜Security&Trust ウォッチ(24)

» 2004年03月31日 10時00分 公開
[須藤陸@IT]

 一時期、ブロードバンドや無線LANといった新しい技術が自由な働き方を可能にするという論調がもてはやされたものだ。いや、いまでもそうかもしれない。

 こういった見方のキモは、従業員が「いつでもどこでも、好きなときに好きなところで仕事ができる」ところにある。ノートPCを持ち歩き、メールのやり取りや報告書の作成、そのほかもろもろの作業を場所を問わずに行えるようにすることで、1人1人の生産性が向上する、というわけだ。

 ノートPC本体の価格の下落、ブロードバンド接続の普及や無線LANサービス(ホットスポットサービス)の登場といった要因が、そのアプローチを後押ししてきた。おかげで最近は、コーヒーショップや電車の中などで、PCに向かう人を見かけるのも珍しくなくなった。自宅でPC本体ごと持ち帰り残業に励む人も少なくないはずだ。かくいう私も、取材先から直接帰宅し、自宅のADSL回線を利用して作業にいそしむことが多い。

 そう。こうやって端末を持ち歩き、自宅も含めてどこでも仕事を行えるようになるのは確かに便利なことだ。しかしこれは、物事の一面しかとらえていないようだ。自由な働き方を可能にするという技術的アプローチが、同時に新しい危険性を生み出したことも否定できないのではないだろうか。

端末が危険をもたらす?

 問題は、ユーザー1人1人の手に、必要に応じてインターネットに接続することができる端末が行き渡るようになった一方で、これらをきちんと管理し、コントロールするための技術が追いついていないことだ。企業からすれば、従業員も、従業員が利用している端末も、危険な外部インターネットとは異なる「身内」。ゆえにこれまでは、両方を信頼する形でシステムを運用してきた。だがその身内が、企業システムに害を及ぼす起点になるケースが見受けられる。

 その危険性を示す好例が、昨年大流行したBlasterワームである。このワームは、ちょうど日本のお盆休みの時期に発生したが、休暇が明けて社内に人が戻ってきた月曜日以降にさらなる猛威を振るった。このようにBlasterがまん延した原因の1つとして、自宅にノートPCを持ち帰って作業していたユーザーが、休暇明けとともにワームが宿った端末を社内LANに持ち込み内部でBlasterをばらまいた、というケースが指摘されている。このとき、危険な外部と社内を隔てているファイアウォールなどは役に立たなかった。

 Blasterは「危険」が外から内に持ち込まれたケースだが、逆の例もある。この数週間というもの、続々と発生している個人情報漏えい事件だ。個人情報が流出する経路にはいろいろなルートがあるだろうが、その原因の1つとして、端末に対するコントロールが甘い点が挙げられるだろう。

 例えば、端末の盗難によって情報が露出してしまう事件が報じられているが、これは情報を暗号化するなどして保護していれば防げたかもしれない。そもそも、情報漏えいの防止を念頭に置いて考えるならば、従業員1人1人が持ち歩く端末の中に、業務上の重要な情報や顧客情報が大量に格納されている――それも本来ならばそれほど“持ち歩く”必要性が高くないものも含め――ことを考えると、ぞっとするのではないだろうか。

 またごく最近では、ファイル交換ソフトの「Winny」経由で感染するウイルス「Antinny」の亜種が話題になっているようだ。このウイルスに感染してしまうと、自分のデスクトップの情報など端末内の情報が、Winny経由で広まってしまう恐れがある。この背景にも二重の意味で、端末に対するコントロールの欠如が存在する。1つは、ウイルス対策を十分に行っていないこと。もう1つは、企業システムにとって制御が難しいP2Pアプリケーションを利用しているという意味だ。

 こうして問題点を並べてみると、端末そのものに対するセキュリティ対策とコントロールが重要になってきていることがお分かりいただけるだろう。

 もう7〜8年前のことになるだろうか、私が初めてセキュリティ対策情報に接したときのことを思い返すと、「ファイアウォールを構築し、大事なサーバにはパッチを当てて、ネットワークを守りましょう」うんぬん、といった項目が書かれていた。けれどもう、そんなアプローチでは間に合わないことは明らかだ。

 ここで頭が痛いのは、ユーザー1人1人に端末を配っている(場合によっては1人に複数台)以上、あまりにも管理すべきポイントが増え、しかも分散してしまっていることだ。だからといって、昔に戻るというのもナンセンスだろう。いまさらホスト一極集中型の“がちがち”システムでもあるまい(超極秘の機密情報を扱うのであればそれもあるだろうが……)。ブロードバンドや無線LANなどの恩恵に背を向けるのではなく、そういった環境を前提にしたうえで、うまく端末をコントロールする術を考えていかなくてはならない。

クライアント端末は公道で走る自動車と同じ?!

 そのヒントは既に、いくつか示されている。

 例えばBlasterのまん延をきっかけに、サーバや主要なシステムだけでなく、端末1台1台に対し、もれなくパッチを適用することの重要性が指摘されるようになってきた。それを徹底するために、社内に接続しようとする端末はまず、VLAN(Virtual LAN)などで切り離した「検疫ネットワーク」につなげ、そこでパッチの適用状況やセキュリティソフトのインストールを確認しない限り社内LANへの接続は許可しない、という仕組みが提案されつつある。

 IPSecVPNにせよ、ダイヤルアップにせよ、自宅から社内システムへのリモートアクセスについても同様だ。パーソナルファイアウォールを活用して端末そのものの保護を図るとともに、管理サーバと連携してセキュリティソフトの適用状況をチェックする、というアプローチが提案されつつある。いまでは多くのVPNゲートウェイやパーソナルファイアウォールソフトがこういった機能をサポートする、と謳(うた)うようになった。問題はそれが本当に「使える」ものかどうかだが、今後の検証に期待したい。

 そして最も大事なことは、端末を持ち歩くユーザー1人1人が、その意味をしっかり認識することかもしれない。あえていうならば、クライアント端末は自動車と同じ。とても便利なものだが、使い方やルールを誤れば、自分に、自社に、そしてほかの多くの人々に多大な危害を及ぼしかねない。「便利さ」ばかりではなくそういった面にも留意しながら、ノートPCを持ち歩くようにしたいものだ。


Profile

須藤 陸(すどう りく)フリーライター

1966年生まれ、福島県出身。社会学専攻だったはずが、 ふとしたはずみでPC系雑誌の編集に携わり、その後セキュリティ関連記事を担当、IT関連の取材に携わる。 現在、雑誌、書籍などの執筆を行っている。


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。