IT特集
経営戦略レポート
海外支援
中小企業支援等レポート
技術の広場
あいち技術ナビ
あいち産業振興機構中小企業支援
海外駐在員便り
時代の目
特集(トピックス)
企業ルポ
翔 魅力ある愛知の中小企業
あいちの製品ProductsAppeal
経営革新に挑戦する中小企業成功事例集
創業企業に聞く
支援企業に聞く
お店訪問 繁盛の秘訣
科学技術は今
ホームページ奮闘記
スペース
スペース
経営相談Q&A
労務管理Q&A
資金調達Q&A
組織活性化Q&A
環境対策Q&A
省エネQ&A
経営革新Q&A
窓口相談Q&A
IT活用マニュアル
IT特集
どんどん使ってみようWindows Vista
IT管理者お助けマニュアル
ネットワークお助けマニュアル
セキュリティお助けマニュアル
お助けBOX
補助金助成金一覧
施策ガイド
2006.4月までの記事を読む
「ネットあいち産業情報」更新をお知らせします!
  トップ > IT特集 > 小規模ネットワークが陥りやすい情報セキュリティ対策の落とし穴(第2回)
小規模ネットワークが陥りやすい
情報セキュリティ対策の落とし穴 (第2回)
阿部 晋也 記事更新日.08.06.02
愛知工業大学 経営情報科学部 非常勤講師
システム開発・楽曲制作・教育研修・DVD制作
Orange-Piece(オレンジピース)

印刷用ページ
1.はじめに
パソコンに入っているデータを簡単に外部へ持ち出しできる状態になっていませんか?暗号化技術を活用することで、データ自体をたとえ持ち出されてもデータを閲覧できない状態にすることができます。
セキュリティ対策の2回目はこの暗号化について、注目したいと思います。暗号化技術を知り、個人情報・財務情報など、他人には見せなくないデータを保護しましょう。
2.データを外部へ持ち出される危険な状態
● 情報漏えいの経路
いまからお話することは、誰かを犯人扱いするわけではありません。 前回のセキュリティ対策でも取り上げましたが、 セキュリティ対策のポイントはセキュリティ知識が足りないユーザを責めることではなく、いかにして情報漏えいしない仕組みを作っておくかという組織作りです。下図に、情報漏えいの可能性をまとめてみました。
▼ 様々な角度から狙われる社内の情報
機密情報が漏えいしてしまった原因を考えると、悪意がない場合から悪意がある場合まで、事情は様々です。
・顧客情報を家に持ち帰って仕事がしたい。
・うっかり違う相手に機密情報が含まれる電子メールを送信してしまった。
・財務情報が入っているノートパソコンが盗難にあった。
・ファイル交換ソフトを使用したことで、コンピュータウィルスに感染し、機密情報が漏洩した。
などが挙げられます。いずれにしても、管理的な側面や技術的な側面から情報漏えいを防ぐ仕組み作りが必要になります。
●情報漏えいへの有効な対策−暗号化
冗談のように思えますが、
・パソコンには機密情報を保存しない
・ノートパソコンやUSBフラッシュメモリは業務で使用しない
といった対策に乗り出せば、情報漏えいの可能性はもちろん低くなります。しかし、業務にITを活用したいという姿勢からすると、前向きな対策とはいえません。このような状況の中で、情報漏えいしにくい仕組みを作る方法の1つとして、暗号化は有効です。

下図に暗号化のイメージを示します。暗号化には鍵(キー)が必要です。鍵(キー)は普段使用しているパスワードが長くなったものと考えてください。鍵(キー)で特別な演算をすることで、内容を解読することを困難にします。鍵(キー)が漏れてしまうと、暗号が成立しません。したがって、鍵(キー)の管理も重要になります。
▼ 基本的な暗号化のイメージ
よく勘違いされやすい点ですが、暗号化を導入すれば、データの持ち出しを防ぐことができるというわけではありません。たとえば、暗号化をされたデータのアイコンは見ることができます。 しかし、実際に内容を確認しようと思っても、確認できない状態を作りだすのが暗号化の技術です。
3.暗号化してデータを保存する
● 暗号化するレベル
一口に暗号化するといっても、暗号化する対象は様々です。
・ファイル単位(1つ1つのデータを単位とする)
・ドライブ単位(“Cドライブ”丸ごと、“Dドライブ”丸ごとといった単位)
・ハードディスク単位
具体的な操作については、あいち産業振興機構のセキュリティお助けマニュアル(http://www.aibsc.jp/joho/security/taisaku/16.html)をぜひ参考にしてください。
簡単に取り組むことができる操作は、ファイル単位の暗号化だと思います。例えば、業務でMicrosoft社のWordやExcelを使うことがよくあります。WordやExcelでは、ファイルに対して、パスワードを設定し、暗号化することができます。ただし、パスワードを忘れてしまうとファイルを開くことができなくなってしまうので、注意が必要です(慣れてきた頃に、筆者は忘れたことがあり、慌てたことがありました)。
▼Microsoft Excel 2003での保存の様子
ファイル/名前を付けて保存を選び、ツール/全般オプションを選択して、パスワードが設定できる。
▼パスワードの設定の様子
少なくとも読み取りパスワードは設定しておきたい。[詳細]ボタンから暗号化の種類を設定できる。
▼暗号化の種類
下になっていくと暗号化の強度が強くなる(解析されにくい)、キーの長さが大きいと解析されにくい。
●暗号化のツールも様々
市販のソフトウェアには、暗号化の機能が用意されていないものがあります。そこで、暗号化をはじめとするセキュリティソリューションを導入している企業もいます。個人情報保護法が施行された現在では、企業としても何らかの対策を講じておかないと後に企業活動に影響を及ぼしかねないからです。

あいち産業振興機構のセキュリティお助けマニュアルで例示されている「秘文」(日立ソフトウェアエンジニアリング株式会社)は、ドライブやファイルを暗号化するだけではなく、USBフラッシュメモリなどで外部にデータを持ち出すときに、暗号化しないと持ち出せない仕組みになっています。そういうルールに設定されていると、筆者のように忘れやすいタイプにはぴったりです。

しかし、費用的なところでなかなか市販のセキュリティソリューションに手が出せないことがあります。最低限でもデータにパスワードはかけておきたいものです。筆者は「アタッシュソフト」という暗号化のフリーソフトソフトを使うことがあります。フリーソフトウェアでありながら、世界標準の暗号化(暗号化アルゴリズム:AES)を適用します。
▼フリーソフトウェアの暗号化ツール「アタッシュケース」の画面
作者のWebページ(http://homepage2.nifty.com/hibara/software/atcs.htm)
ベクター(http://www.vector.co.jp)で入手できる。
4.インターネットにおける暗号化技術
● Webブラウザから流れる情報を保護する
暗号化はドライブやファイルに限ったことではありません。インターネットの世界においても、暗号化は標準的な技術です。その代表例がSSL(Secure Socket Layer)です。SSLは、Webブラウザから送信される情報を暗号化します。
Webブラウザから個人情報を送信するときには、そのアドレスが実在しているかどうか(本物かどうか)を確認した上で、SSLが動作しているWebページから送信するようにしましょう。この2点が確認できないページは途中で個人情報が盗み読みされる危険性があると考えられます。
SSLが動作しているかどうかはInternet Explorerの場合、右下の錠前アイコンで確認できます。
Webブラウザから個人情報を入力するときには、アドレスと錠前アイコンを確認(楽天)
錠前アイコンをダブルクリックすると、暗号化の元になる電子証明書を確認できる
● 電子メールの暗号化
電子メールの暗号化を行うためには、電子証明書(デジタルID)が必要になります。電子証明書の中には暗号化するための鍵(キー)が含まれています。電子証明書は維持費用がかかるので、ある程度の投資が必要です。最近ではプロバイダーで電子証明書を発行するサービスを提供している場合があります。
電子証明書発行サービスの例(biglobe)
電子証明書のインストールはブラウザ上でほとんど完結します。具体的な操作は、日本ベリサイン社(電子証明書とPKI入門:http://www.verisign.co.jp/basic/pki/index.html)のサイトが参考になると思います。
代表的なメールクライアントソフトであるOutlook Expressでは、暗号化メールを送信する際に信頼していないユーザへ送信しようとすると警告が表示したり、メールの内容が改ざんされていたりすると同じく警告が表示されます。
暗号化したメールを送信した例
Outlook Expressで暗号化されているメールを受け取った
5.安全に外部のネットワークに接続する
インターネットでは非常に多くのユーザが通信しています。そういう状況の中、他人に知られずに安全にデータをやりとりするためには、高価な専用線を用意したり、前述したSSLや電子メールの暗号化を導入したりしてきました。
しかし、様々なソフトウェアが登場し、利用したソフトウェアごとに暗号化を検討していくのは大変です。そこで、ネットワークの経路そのものを暗号化して、あたかも専用線のように安全なネットワークを構築できる技術がVPN(Virtual Private Network)です。
VPNを導入するときは、ネットワーク規模やコストに応じて、選択することになりますが、大きくわけて2つにわけることができます。
VPNの種類 主な特徴
IP-VPN 通信事業者がVPNのネットワークを用意する。接続機器や構成がシンプルだが、ランニングコストが高くなる傾向にある。
インターネットVPN ユーザがVPNに対応したルータなどを用意し、暗号化したデータをインターネット回線に流す。ランニングコストが安くなる傾向にあるが、機器の運用管理が必要となる場合がある。

最近は、マネージドVPNと呼ばれるサービスが登場し、設計、機器導入、機器レンタル、保守・サポートなどをセットにしたソリューションが提供されています。簡単にいえば、VPNの設定や運用をサービス提供事業者にアウトソーシングすることになります。独自でVPNを導入するためには専門的な知識が必要になりますので、こうしたサービスを検討することも選択肢の1つとなるでしょう。
6.最後に
いかがだったでしょうか。身近なネットワークでどんどんと暗号化が浸透しています。それだけ、セキュリティに対する意識が定着してきた現れであり、暗号化技術がますます進化しているということもわかります。ITを活用する中で、データの管理は重要です。みなさんのデータがどのような管理がなされているか、振り返るところから始めてはいかがでしょうか。“振り返り”こそがセキュリティ対策の第一歩です。
あなたのご意見をお聞かせください
この記事を友人や同僚に紹介したいと思う
参考になった
参考にならなかった
 
Aichi Industry Promotion Organization
財団法人あいち産業振興機構