[情報セキュリティEXPO'07]不正機器検出

予定通り情報セキュリティEXPO2007に行ってきました。
いつもの年に比べると「おおっ」というものが少なかったのも事実。
ですが、その中でも気になった何かをご紹介します。
とはいえ、やはり私の仕事の関連上、従業員数３桁程度向けの話です。

JALインフォテック　PALLET CONNTROL
http://www.jalinfotec.co.jp/product/pallet/IllegalSearch/index.html

不正機器検出というのは、本格的にやろうとするとスイッチを交換する羽目になったり
拠点ごとにハードウェアを入れたりということで、相当大がかりになってしまうもの。
一拠点3人しかいない、なんて場合には費用対効果からいって絶対不可能です。

そうするとソフト的な何か、ということになるわけですが、かといってフリーウェアでは心許ない。
そんな場合には結構いい選択肢のような気がします。お値段もリーズナブル!!
何といってもJALって響きがいい(笑)
ちょいと検討してみることにします。

パソコン暗号化ソフトの種類と代表例

パソコン暗号化ソフトには2つの種類があります。

1. ファイル暗号化製品・・・(例）日立ソフト「秘文」など。
   　特定のフォルダ内、もしくはWindows自体のファイル以外全てのフォルダ、あるいは特定の拡張子ファイルを自動的に暗号化する。Windows上で動作するのが特徴であり、弱みでもある。
   　特定のフォルダ内を暗号化する方式の場合、例えばMy Documents内を暗号化する設定にしておき、全てのファイルはそのフォルダ内に保存するようにする。この場合、ユーザがMy Documents以外に保存してしまった場合無意味。HDD暗号化製品より安い場合が多い。
   　Windows上で動作するため、ほかのプログラムとの相性問題が発生する頻度が比較的高い。
2. HDD暗号化製品・・・(例)マクニカネットワークス「SafeBoot」、ポイントセック社「Pointsec」など。
   　HDDをまるごと暗号化するのが最大の特徴。MBR(マスターブートレコード)を書き換え、PC起動時にまず認証を行い、その後にWindowsを起動させる。ファイルシステム(NTFS、FATなど)より下のレイヤーで暗号化をかけてしまうため、ファイルやプログラムに影響を与えにくい。PC廃棄時には「そのまま捨てても安心」との触れ込みも。1.に比べると安くはない。

　製品により、管理サーバを使用してクライアントに暗号化やパスワード認証を強制させる機能を持っているケースが多いが、スタンドアロンで使用できるものもある。

　さらに、USBメモリやCD-Rなどにファイルを転送する際自動的に暗号化したり（あるいは任意に暗号化を行うこともできる）機能が別売オプションで提供されるケースが多い。

　購入時、保守加入が必須である場合もある。必須でない場合でも、将来のVista対応や不具合修正のことも考えると保守加入が理想。

セキュリティはどこまでやればOKなのか

　セキュリティはどこまでやれば「よし」とされるのか。

　私を含む情シスで働く人々にとって、これは大きな難題の一つだと思います。やりすぎは費用の面からも作業効率の問題からもよろしくありません。かといって取り組みが不足していれば事故が起こります。

　私は一時期、訪ねてくるベンダーさんに「どこまでやればいいんでしょう？」と聞いてみました。答えはほとんど一緒でした。「それは御社のポリシーの問題ですので」。ベンダーさんにしてみたら「下手なことを言ってトラブルに巻き込まれるのはいやだ」「それを考えるのがあんたの仕事だろうが」というところもあるかもしれません。そういう話はちっとも進まないわけですが、「このセキュリティ商品は絶対に最新の○○暗号方式を利用しています」とかいう話だけは盛んに聞くハメになりました。
　ところで、自動車保険はどこまで厚い保障をしておけばよいでしょうか。保険会社に相談したとき「それはお客様のポリシーの問題ですので」と答える会社はないと思います。対人対物無制限がおすすめです、お車は8年目ですからご自身のお車の保障はそれほどいらないでしょう、8年目になるので故障も考えられますのでロードサービスがおすすめです・・・こんな風にして提案してくれるはずです。保険会社は「下手なことを言ってトラブルに巻き込まれるのはいやだ」などとは考えません。
　一方、セコムなどの家庭向けセキュリティ会社はどうやって提案してるんでしょうね。おたくのポリシーの問題です、などとはやっぱり言わないと思います。

　というわけで自動車保険のようにすいすい決められないセキュリティ問題。何が問題なのか羅列してみます。

• セキュリティにいくらお金をかけても目に見えて手に入るものがない。・・・「当社は秘文をつかっているので安全です」とかホームページに書ければまた話は別かもしれませんけど。
• 目に見えて手に入るものではないから、経営者からすると「金食い虫」的な問題。
• 故に、あまりド派手に予算をかけようとすると情シスが「あほか」と怒られる。
• かといって、事故が起これば情シスが責任を負う羽目になりかねない。
• 厳しいルールは社内から反発が起こる。
• 現実的な運用を考えないといけない。パスワード認証を厳しくしすぎても、ポストイットにパスワードを書いて貼り付けておく社員が出るようでは逆効果。

　情シスにとって、セキュリティ対策というのはこの辺の事情を考慮した「ちょうどよい塩梅」を模索することでもあります。自分の社内的立場を守るためにも。

国防総省レベルの製品は要らない

セキュリティ関連の製品紹介を見ていると「米国・国防総省でも採用された暗号化技術」「FDA(アメリカ食品医薬品局)にも導入」などと書いてあったりして。ついつい「それなら確実だ!!ぜひ採用しよう」とか思ってしまうのですが、ん？んん？

うちの会社、国家の存亡に関わるような仕事してないし、国民の生命に関わる仕事もしてないような・・・

というかですね、さらによく考えてみるとそんなのを売りにする業界ってちょっと特異では。

• 国防総省も採用した安全技術を採用した自動車・・・アクセル踏む前に暗証番号とICカード、右折するには大統領の許可が必要、とか・・・しかし、個人情報漏洩は自動車事故以上に危険なもんなのか??
• 国防総省も採用した最新鋭の自動ドア・・・ロケットランチャーが命中しても問題なし、って、いらんわ!!もっと薄くて軽いのください!!

というわけで、もうちょっと民生品レベルでいいので、安くて使い勝手のよい商品でお願いします!!
でもですね、日本人には「お上も使ってるんならちょうどよいのかも」みたいなとこあるような。アメリカの役所に導入した製品だとオーバースペックで、日本の役所ならちょうどよい?日本の役所はアメリカの役所より信用度が低いのかしら・・・

• 社会保険庁も採用した名寄せ機能・・・だめ!!だめ!!それはだめです。
• 警察庁も採用したノートパソコン・・・それも微妙・・・

(財)日本情報処理開発協会賛助会員の大日本印刷、Pマーク剥奪逃れる

個人情報を大量に流出させた大日本印刷のPマーク（プライバシーマーク）は剥奪されずに済みそうです。
http://it.nikkei.co.jp/security/news/index.aspx?n=AS1D2309C%2023032007

処分を決定した(財)日本情報処理開発協会ですが、大日本印刷が賛助会員として参加しています。
http://www.jipdec.jp/kaiin/

賛助会員は1口10万円というわけで、大日本印刷が何口払っていたのかわかりませんが、これではその辺の関係を疑う人がいたとしてもやむを得ないのでは。日本情報処理開発協会はもうちょっと危機感を持って説明しないと、不信感を生むだけでは？Pマーク自体が「安心感」という実態性のない効果を生む物だけに、このままでは日本情報処理開発協会にとっても大日本印刷にとってもマイナスイメージのはず。

名刺は個人情報か

「個人情報保護」と称してセキュリティ関連の製品を売りに来たベンダーさんから時々「個人情報流失のお詫び」が届きます。名刺データの入ったパソコンを紛失、みたいなケースが多いようです。売りに来た暗号化ツールは役に立たなかったか、入っていなかったようで(笑)

私個人は、会社の名刺なんてものは個人情報ではないと思ってます。いや、個人情報かもしれないけれどわざわざ世の中の会社が死にものぐるいで守るほどのものじゃないかと。そもそも、営業マンにとって名刺は、流失したっていいからバラマキたいレベルのものです。流失して何が困るかと言えば、せいぜいマンションや先物の勧誘電話がかかってきたら困る位のもの。

いわゆる個人の住所とか電話とか生年月日のような本当のセンシティブ情報と会社の名刺を一緒に考える時点で、この国の政治はどうかしてます。名刺の悪用を防ぎたければ、単純に勧誘電話を禁止してしまえばいいだけ。不動産業界と先物業界とゴルフ会員権業界は困るかもしれませんが、それによって多くのB2Bの会社は本業に専念できたはず。我が社で言えば、個人株主様の情報を守ることだけに注意して、あとはいかに物を売るかにエネルギーを注げばよかったのです。こんな無駄が日本中の企業で起こったわけで、そんなことやってりゃ日本の企業力は落ちても仕方ないかも。