6.3 クライアント機器の新しいセキュリティ機能
6.3.1 パーソナルコンピュータの新しいOS

パソコンにおいて、セキュリティ対策の改善は最大のテーマの一つであり、Windowsの新リリースごとに新たな機能の追加や、既存機能の改善が行われてきました。最新のリリースであるWindows Vistaにおいても、セキュリティ関連機能の充実と改善が行われました。(詳細はWindows Vistaのマニュアルやプロダクトガイドを参照)
 
特にリモートアクセスと関連する事項は以下の通りです。

@ Windowsサーバーの新バージョンと接続して利用することにより、VPN(7.6.1参照)を使わないリモートアクセスが可能になります。技術的詳細は開示されていませんが、Webプロキシ(2.3.6参照)経由のリモートデスクトップ(2.4.1参照)、ターミナルサービスゲートウェイ経由でのオフィス内ネットワークへの接続が可能になります。VPN方式と比べてプロキシでのきめ細かなアクセス制御が可能になり、導入も簡単になりますが、サーバーソフト自体の脆弱性や利用できるクライアントソフトの種類などを見極めて、VPN方式かプロキシ方式のどちらを採用するかを決めます。
 
A パブリックフォルダの機能を追加することにより、ファイル共有が簡単になりました。また、ファイル単位の共有指定やアクセス権を個人レベルで設定することが可能になり、さらにファイルに共有を設定すると、そのファイルにアクセス権を持つ人にメールで通知が送られる機能が追加されました。そのメールには共有を設定したファイルにハイパーリンクを張っていますから、メールの受信者はそれをクリックするだけでそのファイルを見ることが出来ます。この機能は、メールの添付ファイルの代替やファイル転送の代替に利用可能な場合があり、情報漏えい対策の1つになります。
 
B ユーザー認証関連で、Windows CardSpace という機能が提供されています。この機能は、入力したユーザーIDとパスワードを暗号化して管理する機能で、パスワードを類推される危険を軽減するものといえます。類推されにくいパスワードをいくつも作り、覚えておくのは結構大変ですが、その問題を解決する1つのツールです。
 
C IPv6 (2.2.2参照)が標準サポートされました。Windows Vistaでローカルネットワークを構築する時には、IPv6を使用することを勧めています。このためにIPv6パケットをIPv4のインターネットにトンネリングするTeredoといわれている機能もサポートされています。また、VPNや暗号化通信の1つとして、IPsec(7.6.6参照)の利用が容易になっています。
 
D Windowsに付属しているファイアウォール(2.3.5参照)、Defender(スパイウェア対策ソフト)の強化および改善が行われています。特に最適な設定ができるようにサポート機能が充実しました。
 
E Windows Updateがバックグランドで実行されるようになりました。パソコンを利用しているときにアップデートされます。アップデートは、今迄は優先度の低いものは選択することができましたが、Windows Vistaでは必要なものは一括してアップデートされます。
 
F ユーザーアカント制御が強化され、従来管理者権限を持たないと実行できなかった機能で、リスクが少なく通常のユーザーでも利用したい機能やソフトウェアがユーザー権限で利用可能になりました。したがって、従来やむをえず管理者権限を与えていた多くのユーザーをユーザー権限に戻すことができ、危険なソフトウェアのインストールやシステムの設定変更を防ぐことができます。リモートアクセス関連機能で、ユーザー権限で実行可能になったものは、以下のとおりです。
・ ホットスポットなどの無線LANを使用するときに利用するWep(暗号化の鍵)の設定
VPN接続の環境設定
システムクロック、カレンダーなどの設定
 
G ルーティングコンパートメントという機能が追加され、1台のパソコンで複数のルーティングテーブルを持つことが可能になりました。この機能により、VPNを利用してオフィスの内部ネットワークにリモートアクセスするときに使うルーティングテーブルとインターネットを利用するときに使うルーティングテーブルを分離でき、不正侵入などのリスクが軽減します。また、2.7で述べた複数のアクセス先へのリモートアクセスでもアクセス先ごとにルーティングテーブルを分離でき、より安全なリモートアクセスが可能になります。
 

コース (A  B  C  D  E



6.3.2 携帯電話におけるセキュリティ機能

携帯電話において、紛失時の対策は最大のテーマの一つであり、各携帯電話事業者が新しいサービスとしていくつかの機能を提供してきました。紛失したあとの対策ですから、遠隔からの操作にて、携帯電話を操作できるよう考慮が必要です。また、パソコンと同様に情報セキュリティの確保やウィルス対策などへの対応もされてきています。
 特にリモートアクセスと関連する事項は以下の通りです。
 

1) 携帯電話の紛失時の情報漏えい対策

 携帯電話を紛失した際に、携帯電話に保持している情報の漏えいを防ぐためには、速やかに機器内部に保存されているデータを消去もしくは利用不能にする必要があります。各携帯電話事業者は新しいサービスとして以下のような機能を提供しています(各携帯電話事業者によって多少の機能差があります)。
@ リモートデータ削除機能
 
携帯電話を紛失した場合、サービスを契約している管理者側からセンタープッシュ機能を利用し、携帯電話内のデータ削除を行うことがでます。アドレス帳削除などが可能です。
A リモートロック・解除機能
 
遠隔から携帯電話の操作をロックおよび解除が可能です。例えば、携帯電話の置き忘れや紛失時にあらかじめ登録した他の電話機や公衆電話から遠隔操作することで第三者による使用を防ぐことができます。遠隔ロック画面にて、監視時間を3分にして、着信回数を5回に設定しておくと、指定した発信元から、3分以内に5回電話をかけるだけで、遠隔操作でロックを掛けることができるという機能です。
B 使用者遮断時のロック機能
 
「使用者認識キー」(3cmx6cmx0.5cm)とかを身に着けていれば、自分が携帯電話から離れると自動的にロックされ、近づくと自動的に解除できるので置き忘れや紛失時などにも安心できます。
 

2) なりすまし、盗聴・改ざん、データ流出への対応

 携帯電話を利用した情報システムへのアクセスの普及と共に、パソコンと同様にセキュリティ確保は重要な課題となってきました。これへの対処として次のような機能が利用できます。

@ パスワード方式(機器IDも利用可能)
 
特定の人だけがアクセスできるようにするユーザー認証の仕組みとしては、パソコンと同様にユーザーIDとパスワードの組み合わせを使うのが一般的です。さらに携帯電話ならではの、端末ごとに割り振られた固有のIDを認証に使える場合もあります。どの端末からアクセスされたのか検知できるし、端末を紛失しない限りなりすましが難しいのでIDとしてかなり有効です。また、ワンタイムパスワード(7.1.2(3)参照)の導入も検討することが必要です(これはパスワード漏えい防止にも効果があります)。
A SSL通信方式の採用
 
インターネットでの盗聴や改ざんを防ぐために,通信内容を暗号化するSSL(7.6.3参照)が利用できます。携帯電話とリモートアクセス用サーバーの間を暗号化した状態でやり取りすることにより、セキュリティレベルが向上します。ただし,すべての携帯電話がSSLに対応しているわけではないので事前に機種ごとに確認が必要です。
B 携帯電話にデータを保存しない方式の採用
 
例えばメールなら、社内メールを端末に転送し保存するのではなく、Webメール形式でブラウザからアクセスさせる方式にするというものです。
C バイオ認証
 
最近の携帯電話は、バイオ認証(生体認証)(7.1.2(4)参照)も可能となってきています。指紋、顔、声などの身体的特徴によってロック解除を行うことができる権限を与えることにより、セキュリティを高めることが可能となります。
D 電子認証サービス
 
PKI(公開鍵暗号基盤)(7.5.6参照)を採用することで、携帯電話事業者が取得したユーザー証明書(データ)を利用して相互認証ができます。また、銀行など各社が発行した証明書をダウンロードし、SSLクライアント認証及び電子署名を利用した通信も可能です(携帯電話事業者に確認が必要です)。
 
3) ウィルス対策

 携帯電話の利用が拡大するにつれ、携帯電話を狙うウィルスやワームも発生しており、これへの対策も重要です。パソコンと同様に携帯電話に内蔵されているOSを狙うワーム、トロイの木馬などが確認されています。現時点では、爆発的に広まった携帯電話のワームやウィルスはありませんが、今後、端末が備える機能の多くを制御できるアプリケーションを自由に開発・実行することが増えれば、ウィルスやワームに感染する危険性は一気に高まります。
 
これに対して、携帯電話事業者やセキュリティソフトのベンダーはセキュリティ対策の仕組み作りを進め、既に一部の携帯電話はウィルススキャン機能を搭載済みといわれています。携帯電話の利用者もパソコンと同様に携帯電話事業者からの情報に注目し、必要なウィルス対策を行う必要があります。

 これらは、今後ますます整備されていくものと考えられます。
 

コース (A  B  C  D  E



6.3.3 PDAにおけるセキュリティ機能

汎用的なPDAはパソコンや携帯電話に比べて普及率は低く、セキュリティ対策も遅れている感があります。PDAによるセキュリティ問題が新聞などで報道されることもほとんどありませんが、潜在的脅威は存在しますので、携帯電話並のセキュリティ対策は必要です。

 
専用PDAは、組み込むソフト次第でセキュリティ対策が決まります。専用PDAでは、客先情報や商品情報を扱うことが多く、機種によってはクレジットカードやプリペードカードによる決済機能を持つものもありますから、十分なセキュリティ対策をする必要があります。

・ 通信の暗号化
・ ファイルの暗号化
・ 紛失対策のため、リモートから情報を消去する機能
・ ロック機能(場合により物理的なロック機構や生体認証の採用)
・ 各PDAに通し番号を入れ、機番管理とサーバーでのユーザー認証(7.1.2参照) への利用
・ 決済機能を持つPDAでは、ユーザーが入力する暗証番号を盗み見られない構造を採用し、メモリやファイル上に入力した暗証番号を残さない配慮
・ 場合によりタンパレジスト(意図的な安全スイッチ等の無効化を防止するための機能)などを実現する必要があります。

PDAの利用者は、置き忘れたり、盗難に遭わないように十分に注意する必要があります。
 
また、ファイルを暗号化する場合には、暗号鍵を一緒に置き忘れたり、盗まれたりしないような管理をしなければなりません。
 

コース (A  B  C  D  E)