投稿日:

モバイルノートを無くす前に

JEITA の調査によると、 昨年度の国内 PC 出荷台数は 1156万台余りであり、 そのうち 666 万台がノート型であり、 更にそのうち 203 万台がモバイルノートであるという。 モバイルノートだから持ち運ぶとは限らないが、 相当数のビジネスマンがモバイルノートを抱えて今日も歩き回っているのではと考えられる。

日本ネットワークセキュリティ協会「2003年度情報セキュリティインシデントに関する 調査報告書」によると、 個人情報漏洩事件の一件辺りの損害賠償額は五億円程度とされている。 個人情報漏洩事件の場合には、これに加えて企業の信頼低下に伴う株価への影響が大きいとされており、 現実として、たった一枚の CD-R 、たった一台のウェブサーバの設定ミス、たった一台の PC 紛失が、 企業存続を左右しかねない損害を生じさせるというリスクが存在しているといえる。

モバイルノートを紛失した時の被害として、 帳簿上では、ハードウェアと、ソフトウェアの合算で数十万円といったことになるが、 このように、モバイルノートに保管されている情報の価値によっては計り知れない損害が発生するということである。

モバイルノートは持ち運びに使うものであるから、常時、紛失もしくは盗難の危険に晒されている。 この危険をゼロにすることは出来無いので、 モバイルノートに保管される情報量を出来る限り減らし、 モバイルノート紛失時の被害をハードウェアとソフトウェア、 プラスアルファに抑えるための心掛けについて考察してみる。

業務で使うファイル、電子メールなど

昨今のモバイルノートは、必要にして十分な画面解像度を持ち、 CPU パワー、HDD 容量など、一台でほとんどの用が足りてしまう性能を持っている。 実際のところ、一日の業務の殆どをモバイルノートで済ませている人は多いと思われる。 このため、過去のプロジェクトファイル、電子メール等々、モバイルノートに全部入っている、 という人も居るかもしれない。 しかし、これでは全財産背負って出歩いているようなものであり、リスクを考えると、とてもお勧めできない。

心掛けとして、ファイルサーバを設置し、基本的に業務ファイル、 電子メールはファイルサーバに保管することがあげられる。 NAS(Network Attached Storage)であれば、管理も容易で、200 GB 級のものが 10 万円以下で購入できる。 安価に済ませるのであれば、外付け HDD でも良い。 100 GB 級の USB 接続 HDD でも数万円程度で購入できる。

その上で、モバイル時に利用するデータを識別し、 外出時に必要なファイルだけを暗号化した上で持ち出すようにする。 モバイル利用を前提として、データをファイルに小分けにしておくことも重要である。

見落しがちなデータ

文書ファイル(ワープロ、表計算、プレゼンテーション)、電子メールなどは、 資産価値があることがわかりやすいので暗号化、持ち出し制限などの対策がとられていることが多いだろう。 しかし、モバイルノートには、これ以外にも資産価値の高いファイルがいくつも存在している。

Windows PC であれば C ドライブには実に様々なファイルが格納されている。 その中でも “C:\Documents and Settings\<username>” 以下のファイルには、 特に注意しなければならない。

  • Application Data – アプリケーション固有データ
  • Cookies – クッキーファイル
  • Favorites – お気に入り

これらのディレクトリにはパスワード、クレジットカード番号などが保存されている可能性がある。 また、ウェブ閲覧履歴、キャッシュファイルなどから、業務内容などを推測される恐れがある。 電子メールをモバイルノート上に保管しないことについては既に述べたが、 アカウント情報などは Application Data 以下に保管されてしまい、 保管場所を変更できないアプリケーションもある。

データに対して暗号化、難読化などの情報漏洩対策が成されているかはアプリケーション次第なので、 アプリケーション毎にユーザー固有データの保管方法について調査し、対策の検討を行う必要がある。

暗号だけでは不十分

データファイルを暗号化しておけば安心かというとそうとも言い切れない。 ファイルを暗号化するということは次のような手続きになる。

  1. オリジナルファイルを読み込む
  2. メモリー上で暗号化措置を施す
  3. 新規ファイルを作成し暗号化したデータを書き込む
  4. オリジナルファイルを削除する

良く知られていることだが、ファイルの削除というのは、 ファイル情報テーブル上に削除したというマークをつける作業のことであり、 ディスク上のデータは残されている。 ファイルを暗号化した際には、 オリジナルファイルが記録されたディスク上のデータ領域の削除を忘れてはいけない。

データの完全な削除については、米国防総省方式、Gutman 方式など、 広く使われている手法があり、実装しているソフトウェアも多く販売・公開されているので、 それらを利用すると良い。

細かい話だが、ディスク上の領域だけでは無く、メモリー上の領域も忘れてはいけない。 パスワードファイルを暗号化して管理しているアプリケーションであっても、 そのパスワードを利用する際には、ファイルを読み込んだ後に復号して使うことになる。 もし、メモリーを覗くことができれば、生のパスワードを知ることができる。 動作中のオペレーティングシステムのメモリーは保護されているので、そのようなことは通常は不可能である。

しかし、モダンオペレーティングシステムは仮想ファイルシステムを使っているので、 ファイルシステム上の仮想メモリーファイルに、復号したパスワードが存在している可能性がある。

暗号には様々な利用が考えられるが、 このようなことも加味した上で使い方を十分に検討しなければ、効果は発揮できない。

モバイルノートは宝の山

モバイルノートには、 ユーザーの知らぬ間に、あちらこちらのファイルに資産価値の高い情報が保存されてしまっているのが実態である。 人間の脳に、本人も忘れている過去の記憶が残されているかのように、 モバイルノートにも、ユーザーも忘れている過去の情報が残されているのである。

過去の記憶を消すことが難しいように、過去の情報を消すことも難しい。 ここで述べたように、どのような情報が、どのファイルに格納されているのかを把握し、 それぞれにふさわしい対策を検討するという、地味だが大事な作業を積み重ねることが不可欠である。

本文中のリンク・関連リンク: