推奨される取り組み

19 媒体の紛失・盗難対策

設問

モバイルPCやUSBメモリなどの記憶媒体やデータを外部に持ち出す場合、盗難、紛失などを想定した適切なセキュリティ対策を実施していますか。

(モバイルPCやUSBメモリなどの記憶媒体の使用場所には、外部のパブリックスペースやリモートオフィス、自宅などを含みます。外部のセキュリティの脅威は内部よりも高いことを考慮して対策を行う必要があります。)

説明

モバイルPCやUSBメモリなどの記憶媒体の使用場所には、外部のパブリックスペースやリモートオフィス、自宅などを含みます。外部では、内部での利用に比べて盗難や紛失のリスクが高いことを考慮し、外部持ち出しに関する規程を定めたり、強固な認証や暗号化などの対策を検討したりします。

対策のポイント

1.モバイルPCやUSBメモリ、CDなどの使用や記憶媒体の外部持ち出しについて、規程を定めているか
2.外部でモバイルPCやUSBメモリ、CDなどの記憶媒体を使用する場合の紛失や盗難対策を講じているか
3.モバイルPCにログオンする際に、利用者IDとパスワードなどによる認証を実施しているか
4.モバイルPCなどに保存されているデータを、その重要度に応じて暗号化しているか

解説

モバイルPCの置き忘れや盗難による個人情報の漏えい事件が多く発生しています。モバイルPCや持ち出し可能なメディアのセキュリティについては多くの組織が危機感を持っており、なんらかの対策をとっていますが、まだ十分であるとは言えません。モバイル PC や持ち出し可能なメディアの使用や外部への持ち出しルールを決める際には、それらに記録されている情報の明細を作ることをお勧めします。また、基本的な考え方として、データとアプリケーションの分離という概念も導入する必要があります。これは、データを閲覧するためにはアプリケーションが必要であることから、そのアプリケーションの入手や利用に制限を設けることで、データの閲覧を困難にするという考え方です。

モバイルPCやメディアの持ち出しを禁止している組織も多くありますが、これによって紙媒体の持ち出しが増えてしまったというケースが少なくありません。紙媒体は最も閲覧が容易なデータ形式であると言えます。また、コピーもコンビニエンスストアなどで容易に行うことができるという点で、情報が漏えいした場合の被害が拡大しやすいと考えられます。

PCやメディアに利用者認証機構(※)を導入し論理的なロックをすることも有効な対策の一つです。利用者の認証には、「知っていること(ID、パスワード)」、「持っているもの(USBキー、ICカード)」、「本人の属性(バイオメトリクス)」という3つの要素を組み合わせて利用するようにしてください。すべてのモバイルPCやメディアにこれらの対策すべてを導入するのではなく、情報資産の重要度や問題の予想発生頻度に応じて選択することが望まれます。

PCのハードディスクには様々なデータが保存されています。重要な情報が蓄積される場合には、それが蓄積される区画やあるいはハードディスク全体を暗号化し、PC本体へのアクセス制限に加えて、もう一段深いセキュリティをかけておくことが重要です。
ただし、気をつけなければいけないのは、その暗号化のキーもPCの利用者認証に使用するのと同じキー(ID、パスワード、USBキーなど)で開けられてしまっては意味がないということです。たとえば、部屋に入るまでに鍵のかかるドアが5枚あっても、すべてのドアが同じキーで開いてしまうのであれば、ドアが1枚しかないのと同じ理由です。
また、外部への持ち出しが容易なモバイルPCの使用や、持ち出し可能なメディアのサーバやPCへの接続自体を制限することも検討すべき事項です。
最後に、モバイルPC をネットワークに接続する際のセキュリティについても検討しなければいけません。ルータやファイアウォールなどで守られたネットワーク内であれば、外部から直接攻撃を受けることは少ないでしょうが、PHSや携帯電話を介して直接インターネットに接続しているときは攻撃される危険が非常に高いと言えます。パーソナルファイアウォールを導入するなど、端末単位のセキュリティについても十分に検討する必要があります。

※利用者を識別、認証して、そのPCやメディアの利用を制限するメカニズム(例:ハードウェアトークン等)