柱
スタンドアロンPCからの情報漏洩対策
1 はじめに
電子データの分野における情報漏洩防止策は主に2つの方向から講じられてキーた。部外者の盗難から情報を守ることと、部内者の犯行による漏洩を防ぐことである。
これらは、通常の紙による情報漏洩施策と同様の構造を持ち、いわば金庫の代わりに厳重に管理されたファイルサーバを、机の鍵の代わりにログオン認証を用いて実現しようとしたものであり、外部・内部の犯行から情報を守るというものである。しかしながら電子データにおいては、過失により情報が漏洩することが多く、かつ影響が大きくなりがちである。しかも、過失を犯す場合、害をなそうとする意志がないにせよ、止むに止まれぬ事情や効率を重視するあまり情報の使用者が自ら進んで行うことすらあるのである。
特に請負契約によりOfficeファイルでのドキーュメントの作成・修正を外部に委託する場合、委託先が使用しているPCから情報が漏洩するリスクが存在しており、かつそれを削減するのは構造的に困難である。
本論は、伝統的な情報漏洩防止策を概観した後で、過失からの情報漏洩が数多く発生していることを述べ、そのような事件がいわば構造的要因を孕んでいることを論証する。その上で、このような電子データの特長である過失による情報漏洩を、なんとか現実的に保護できる手法を提案しようとするものである。
なお、過失による情報漏洩は主にネットワークに繋がれていない監視の困難なPCから生じている事実を鑑みて、スタンドアロンPCからの情報漏洩対策を中心に扱った。
部外者の犯行による情報漏洩を防ぐためには、保護すべき情報の保有者自身が注意を払って、情報の漏洩を防ぐ必要がある。
これには、置き忘れや盗難を防ぐために重要な情報を携行しない、とか、機器や媒体をしまう際に必ず鍵をかけるといった心構え的なものの他にも、システム的手段で漏洩を防止する手法がいろいろと提案されている。基本的にはPC本体やファイルに対するアクセス管理である。またアクセスされても内容を隠蔽するための暗号化といった手段もある。具体的にはネットワーク経由での外部クラッキングを防ぐため、ファイアーウォールを設置する、あるいは起動時・アクセス時にユーザーID、パスワード入力を必須とするといったものから、データの暗号化や、ログイン時に指紋認証を必要とする、起動時にUSBやパラレルポートに特別なハードウェアを接続することを必須とする、といったものがある。
この方式は、情報の保有者が協力的であり、必要なものについてはデータの暗号化を忘れない、かつファイアーウォールやアクセス設定の設定ミスがない、など十全な注意が払われていることを前提としている。したがって注意を怠った場合、および情報の保有者自身が情報の盗難を試みるという内部犯行の場合には無防備になりうるという問題がある。
さらにこの方法で保護したとしても流出したのが個人情報であったばあい、風評リスクからは逃れられない。経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によると、個人情報を定義する部分で「暗号化されているかを問わない」と明記されており、法律上個人情報流出と判断されるからである。従ってこの方式は個人が自分の日記を守るといった用途については相変わらず有効であるが、企業が情報を守る手段としては今後急速に薄れてゆくことになると思われる。ただし、日立の「モバイル割符」のように、情報をUSBメモリとパソコン本体で分割して保有する場合は、個人情報流出と認められず、風評リスクからは逃れられる可能性が高い。
部内者の犯行による情報漏洩を防ぐとは、内部の人間が情報を盗み出そうとしても、それを未然に防止することである。これは個人情報保護法の完全試行を控えた2004年度になって注目度が高まってきた分野であり、その理由としては2つの要因が関係していると思われる。一つは、相次いで生じたYahooBBやジャパネットたかたでの情報盗難事件に世間の注目が集まったという社会的要因。もう一つは、漏洩防止対策としてアクセスをチェックすることが連想され、それゆえにシステム化と相性が良くソリューションとして提供しやすかったというマーケティング的要因があると思われる。
この分野の対策は大きく3つのアプローチに分かれる。一つはアクセス管理の徹底によって、アクセス可能な情報を極力制限し、情報を盗み出そうとする者が内部にいたとしてもアクセスできる情報を極力減らすというアプローチである。もう一つは、情報へのアクセス、媒体へのアクセスログを取得することによって、監視を徹底し、情報持出の行為を牽制するアプローチである。最後の一つは、外部媒体への保存やメール送信を禁止するなどファイル操作を極力制限することによって、情報の持ち出しを不可能とするものである。
最後のものは、現在の情報漏洩対策ソリューションの主戦場ともいえるものであり、各社から様々なソフトウェアが出ている。一般的にはファイルは全てサーバに置き、ファイル操作を行うPCをネットワークで接続するという構成を基本に、サーバ上のファイルを操作する際は、対策ソフトを通すように強制するアーキーテクチャーになっていることが多い。そして、その際の制限範囲、対象とするファイルの管理方法が、各対策ソフトの特長となっている。だいたいにおいて、ファイルをローカルドライブやリムーバブルメディアへの保存を禁止する、メールに添付しようとするとダイアログが出て操作がキーャンセルされる、画面キャプチャーソフトを片っ端から使用禁止とする、場合によってはクリップボードの使用を禁止する(つまりCut&Pasteによる編集が不可能になる)、といった機能を持つ。
急激な変化である。ほんの一年前まで、セキュリティソフトといえばコンピュータウィルス対策ソフトがまず連想され、PCはネットワークに繋がれている方がウィルスへの耐性は弱いため、場合によってはスタンドアロンが推奨されていた。ところが最近ではセキュリティソフトといえば情報漏洩防止ソフトが連想されるようになり、ここにおいてはネットワークに繋がれていた方が、監視の面でも、ファイル操作の制限の面でも優れているということが言えてしまうのである。
ところが、実際に情報が漏洩している事件を見てみると、過半数が「過失」によって起こっている。情報の保有者が管理を徹底していれば起こらなかった事例ではあるが、かといって内部犯行というわけでもない。この種の漏洩事例は、2004年6月以降の個人情報漏洩問題に限られるが、asahi.comのニュース特集「個人情報漏洩問題」に収集されている。ここで取り上げられた事例のうち流出した情報の媒体が紙ではなく電子データによるものをまとめると表1のようになる。そして各例について漏洩を招いた原因を「過失」であるものと部内者/部外者の犯行による「故意」であるものに分類した。
なお、結果的に盗難であっても、PCを放置していたために盗難を招いたという例は、過失がなければ盗難を防げたこと、および盗難自体が情報を目的としていたものとは考えにくいことより情報漏洩防止策の観点から「過失」と分類している。
(表1)ニュース特集「個人情報漏洩問題」で取り上げられた事例
報道日付 |
見出し |
流出媒体 |
原因 |
備考 |
04/10/13 |
日本興亜損保が2298人分の個人情報盗難 |
PC |
過失 |
PCを車内に放置 |
04/10/8 |
建築確認申請データ7500件紛失 横浜の検査機関 |
MO |
過失 |
|
04/10/7 |
女性飲食店員の個人情報調べる 巡査部長ら戒告懲戒処分 |
端末操作 |
故意 |
不正操作 |
04/9/29 |
車の自賠責保険情報673人分流出 修理工場のPC盗難 |
PC |
過失 |
|
04/9/28 |
旧富士銀の顧客情報入りパソコンが盗難4300社分 |
PC |
過失 |
|
04/9/21 |
5万6660人分のPHS顧客情報入りPC盗難 ドコモ |
PC |
過失 |
|
04/9/6 |
ユーシーカードで571件の顧客情報流出、88件で被害 |
端末操作 |
故意 |
不正操作 |
04/9/1 |
政管健保レセプト、診療情報9000人分流出か 社保庁 |
データ交換 |
過失 |
削除洩れデータ |
04/8/24 |
盗難パソコンに1771人顧客情報 プルデンシャルル生命 |
PC |
過失 |
|
04/8/23 |
日能研で個人情報流出 模試受験の小学生ら100人分 |
端末操作? |
故意 |
調査不可につキー厳密には原因不明 |
04/9/17 |
DCカード、48万人分の個人情報流出か |
端末操作? |
故意 |
調査不可につキー厳密には原因不明 |
04/8/11 |
ホンダの中古車顧客情報4万人分が一時流出 |
端末操作 |
故意 |
|
04/07/16 |
税務署員、納税者情報216人分紛失 酔って寝込む |
携帯メモリ |
過失 |
|
04/07/16 |
県職員2千人分の個人情報、フロッピーごと盗まれる |
FD |
過失 |
許可を得ずに持出 |
04/06/30 |
高島屋柏店、個人情報約70人分紛失 パソコン盗難で |
PC |
過失 |
|
04/06/29 |
クイズ応募63人の個人情報流出 TBSラジオ |
Web |
過失 |
設定ミス |
04/06/26 |
顧客個人情報を不正に売り渡し 消費者金融の副支店長 |
端末操作 |
故意 |
|
04/06/22 |
大和ハウス工業、約36万人の顧客情報入りパソコン紛失 |
PC |
過失 |
ダウンロードデータ |
04/06/21 |
約1万人の情報流出 P&Gとビーエス・アイ |
CD-R |
過失 |
|
04/06/14 |
宇都宮市職員、不仲隣人の中傷に個人情報不正閲覧 |
端末操作 |
故意 |
|
04/06/05 |
良品計画、HP利用者のカード番号など千百人分紛失 |
FD |
過失 |
|
04/06/02 |
62万人の顧客情報が流出 阪急交通社が警察に届け出 |
不明 |
故意 |
端末操作か? |
04/06/01 |
「ウィニー」で捜査資料流出、被害男性が賠償求め提訴 |
ネットワーク |
過失 |
ダウンロードデータ |
PCやMOの盗難・紛失、端末の不正操作つまり、電子的手段によって情報が漏洩した事件は全体で23件あるが、そのうち過失によるものが15件と過半数を占めていることが分かる。さらにその半数近くが個人情報の格納されていたPCの紛失・盗難により起こったものである。
従って、情報漏洩の発生を防ぐには、部内者/部外者の犯行から情報を守るだけでは不十分で、過失から情報を守ることが特に重要であることが分かる。
電子的手段による情報漏洩事件の原因のうち、過失によるものが多数を占めることは判明した。ではそれはなぜであろうか。これは、電子ファイル本来の性質、および電子ファイルを取り扱う際の特性に由来する。
書類が電子ファイルの形になると作成・加工・検索・保存が容易になる。OA化の進展を支えてきた特性と同じである。その結果、特にシステム関連の部署では文書作成を手書キーで行うことすら滅多になくなってきている。
さらに、電子データをパソコンで加工する際、作りかけのものをバックアップとして別保存することが普通に出来る。しかも、近年ファイルの保存コスト、つまりファイルを保存しておくディスクのコストは激減している。このため、以前のようにハードディスクの容量が逼迫してきたため以前のバックアップを消去せざるを得なくなることも少なくなり、完成品ができた後もそのままディスク内に保存されてしまうことになる。これが紙であれば否応なく整理して捨てたくなってしまうであろうに。
自分の作ったファイルをバックアップして、それを捨てずに残すだけでも問題があるが、コピーが容易であるため、他者が作成したファイルがハードディスクに格納されたままとなることも起こりうる。隣に座っている人間が、自分がかつて作成したのと同種のドキュメントを作ると分かれば、前例だよといって渡してしまうことは珍しくないだろう。あるいは自分が作ろうとしているドキュメントの類似物を他人が作っていたと知った場合、それをほしいと考えるのは自然な感情であろう。かくして形式が似ているかもしれないが自分とは直接関係のないファイルがハードディスクの中にたまってゆくということは、十分に起こりうるであろう。
さらに、業務引継の時など「ファイル一式」という形で関係しそうなファイルが「とりあえず」全部コピーされたりすることも考えられなくもない。
これらのファイルを、十分な注意を払って取り扱えといったところで、それは難しい相談だろう。ファイルは物理的にコピーできるが、扱う人間の意識まではコピーでキーないからだ。最初の人がそれを重要情報と認識していたとしても、二人目以降、特に内容が自分と直接関係ないファイルの場合、その意識は急速に衰えるものである。
かくしてPCに保管されたファイルは際限なく増加することになる。これへの対策として、ファイル管理という観点から「LANを張り、ファイルサーバを立ててドキュメントはそこで集中して保存することにしよう」ということが考えられることになる。ところが実現が難しい場合もある。パソコン本体が他者の所有であるために直接の管理が法律的に許されない場合だ。具体的には請負契約でドキュメント作成や修正を外部委託しており、納品ドキュメントをOFFICEソフトのフォーマットを指定して求めている場合だ。決して珍しいケースではないだろう。これはドキュメントの作成をPCでやってくれと依頼しているに等しい。
委託者からすれば、本来は納品が済んだドキュメントはその時点で消去してもらいたいものである。しかし、外部委託先から言えば、納品したドキュメントを手元に参照可能な形で置いておきたいというのが当然の感覚であろう。瑕疵担保期間が設定されている場合は特にそうだろうし、継続的に同様のドキュメント作成を受託する場合にはなおさらである。ところが1年も経てば、用済みのドキュメントを消すことなど忘れてしまいがちになるものである。
そして、ここで外部委託先が使用しているPCは外部、つまり外部委託先の社内ネットワークに接続されていることが少なくない。これは改正下請法に起因する構造的問題である。これによると資本金額に開きがある先に作業を依託する場合、必要な作業場所を要求されれば無償で貸与することが必要とされている。そうなると作業場所は下請企業の利用するオフィスではないことが当然となる。つまり彼らは自社から離れたところで仕事をすることになる。一方最近では、勤怠管理や社内連絡は例えばPHSを通して社内イントラネットにアクセスして行うことが多くなってきた。これが、先ほどのOFFICEソフトでドキュメントを作成する、という要件と結びつくと、委託元から見て次のような状況が生ずる。外部委託先の会社が、外部のネットワークに接続可能なPCの内部に自社のドキュメント類や作成に使用したデータを格納している。これは情報漏洩防止の観点から見て、決して望ましい状態ではない。
さて、ドキュメント作成の際、前例に当たるファイルを無批判的に、悪くすると作成時に参考とした統計資料やテストデータまでフォルダ毎、コピーしてくるという例を述べたが、これをやめさせるのは至難の業である。なぜなら、こうやってファイルをやりとりする人たちは、生産性を上げようとして行っているからである。
また、仕事を持ち帰るためにパソコンや媒体にデータを納めて持ち出すことも考えられる。この場合でも、何とか仕事を終わらせようとして行っているのである。少なくとも一義的には会社のためである。どちらかといえばよかれと思って(あるいは切羽詰まって)の行動であるから、モラルの向上によって情報漏洩リスクを減らそうという方向には限界がある。例え「持ち出し禁止」の規則を定めて徹底したとしても、持ち出す側は少なくとも情報を漏洩させようという意識はない。特に使用するパソコンが私物であった場合などそうだ。ほんの2,3年前までは、パソコンが不足がちなので、しかたなく私物のパソコンを持ち込んで仕事に使っていたという例も多い。実際、表1に取り上げた事例の中にもデータを格納した私物と思われるパソコンを盗まれたという例が少なからず存在する。
このような状況を考えれば教育の徹底により情報漏洩防止を行うという手法は予想以上の厳しい限界があると見て良かろう。あるいは教育する側にすら問題があるかもしれない。この夏出席した情報漏洩防止セミナーの参加者の殆どは、休憩時間に椅子に鞄をおいたまま、ロビーをうろうろしていた。しかも数百人単位の大会場である。鞄の中に流出して困るものは何も入っていないのであろうか。
通常考えられる過失であれば、人間信頼性工学に基づいた対策が有効である。つまり、排除(ミスをしやすい行動をしなくて済むようにする)、代替化(ミスをしやすい行動を行わせないようにする)、容易化(易しい行動でおこなえるようにする)、異常検出(ミスをしたら気づくようにする)、影響緩和(ミスの影響を少なくする)、といった対策である。しかし、いわば確信犯的にパソコンや媒体を持ち出す人間に対しては無力である。どんなにがんばっても、出入り口で手荷物検査を行って持ち出しを防止するのが限界であろう。デバイスドライバレベルでパソコンのハードディスクを暗号化するといったシステムに手を加えるような対策は、残念ながら請負契約の元では委託元が外部委託先に強制することは出来ないのである。
このようにして個人や他社のパソコン(や媒体)にため込まれた情報が社外に持ち出され、置き忘れや過失によって漏洩したとする。これが個人情報であれば事情がどうであれ、データの管理責任を問われることになる。では個人情報以外の企業情報ならどうであろうか。企業情報を守るよう定められた法律は個人情報保護法ではなく、不正競争防止法であり、これは「流出したら即管理責任」というわけではない。しかし実際に適用する段になると事情はあまり変わらない。
というのは、企業の内部情報が保護されるためには、不正競争防止法で定められた、高い高いハードルがあるからだ。経済産業省の「営業秘密管理指針」によると、望ましい管理水準を満たしていない限り不正競争防止法で保護される営業秘密とは認められない。いわば持ち出しても罪には問われないのである。この望ましい管理水準とは具体的には次のような要件を満たすことである。
(1) 当該情報にアクセスできる者が制限されていること。(秘密情報の収納・保管・廃棄方法が規定されている。コンピュータ・ネットワークのセキーュリティによりアクセス制限がかけられている。部外者の立入制限区域に保管されている等。)
(2) 同情報にアクセスした者にそれが秘密であることが認識できること。(書類に「部外秘」等の秘密である旨の表示がされている。秘密情報保護について教育がされていることなど。)
両方とも守ることは極めて困難である。確かにアクセス制限は現在のOSが標準で備えている機能ではある。しかし、アクセスできる者がコピーしてしまえば、アクセス制限は容易に消え去る。そうすればもはやアクセス制限されていると判断する術はない。またデータを格納した媒体に「部外秘」という表記はできるが、電子的にコピーされればその表示も消える。そうなれば、不正競争防止法で保護される対象とは認められがたい。
また、情報サービス産業協会の「ソフトウェア開発委託モデル契約書」では、開発委託をする場合、秘密情報である旨の表示を行なわなければ、秘密情報とは認定されない旨定められている。さらに秘密とする対象は書面で指定しなければならないとされている。つまり、秘密情報が外部委託先から漏洩しても、秘密情報と表示していないものであれば契約によるリスク移転すら行えないことになる。ところが電子データに直接秘密である旨の表示は行えない。かくして秘密事項を電子データで受け渡す場合は、別途、秘密ファイル一覧表を作って書面で受け渡すなどの手段で表示義務を満たすこととなるが、データと書面の紐付けをどう行い徹底させるかを考えると運用は難しい。
秘密ファイル一覧表に記入漏れをしてしまった場合やファイル加工の結果紐付けが不明確になってしまった場合の対策としてできることは、せいぜい持ち込んだ人間や会社に情報漏洩防止に関する誓約書を別途入れてもらって多少なりともリスク移転をすることや、一度持ち込んだパソコンはデータを消去しない限り持ち出せないようにルールで縛る程度である。
であれば他社が持ち込んだPCでも監視対象としなければならない。それではと、社内のパソコンと同じようにLANで接続し、必要なドキュメントはファイルサーバを立ててそこに格納し、修正してもらう、ということを一瞬は考えつく。しかし実現は不可能に近い。派遣契約で働いてもらっているならよいが、請負契約だと少なくとも建前上、業務のやり方には干渉してはならない。ましてや他者の資産であるパソコンに監視ソフトを入れるなどできはしない。盗難に備えてディスクの内部を暗号化してくれ、というのもグレーである。少なくともPCの動作速度が落ちるからと嫌な顔はされる。持ち出すときはディスクをフォーマットしてきれいさっぱり消してくれなどと申し入れれば、それは他社にソフトウェア資産を廃棄してくれと依頼することに近い。
LANに繋いでもらうこと自体大変だ。自社で管理するネットワークに接続する限りは彼らのPCに格納された彼らの企業情報がLAN経由で漏洩しないことを保証しなければならない。しかも守らねばならない委託先の企業情報は、それがこちらに対しても秘密とされている限り確認できない。つまり検証のしようがない。
ならば、と考える。必要なパソコンはこちらで提供しよう、その上でLANに繋いで監視しよう。しかしこれはこれで大変だ。設備を整える手間と費用を別にしても、運用負担は極めて重い。端末割り当ての申請手続、故障時の対処手続、パッチ当ての手続と運用、バックアップの取得と戻し。この辺はできたとしてもファイルサーバ内のアクセス権設定が大変だ。複数の会社に作業依託をしていた場合、委託先ごとにファイルへのアクセス権を設定しなければならない。さらに欲を言えば担当者ごとにアクセス権を設定する必要がある。そしてこれらのメンテナンスが必要となる。
なお、これを行ったために別のリスクが発生する。ファイルサーバがオンラインで接続されているが故に、クラッキングが成功した時、持ち出せるデータ量が格段に多くなるのである。逆に、委託先のパソコンがネットに繋がれることなく、それぞれ独立しているなら、会社毎によって委託する業務を細切れにして渡すことにより、各社それぞれが所有しているドキュメントだけでは漏洩した場合でもたいした影響がないように制御できるかもしれない。もちろん、クラッキングという犯罪に対するリスクであるが、認識しておかないわけにはいかない。
さらに改正下請法がここでも問題となる。公正取引委員会の「改正下請代金支払遅延等防止法テキスト」では、納入物を受領するとは、《下請業者の納入物品等を親事業者が事実上支配下におけば受領したことになる》と定められており、このとき検査の有無は問われない。さらに《情報成果物の作成委託においては、・・・(中略)・・・当該情報成果物を自己の支配下におくこと(例えば、親事業者のハードディスクに記録されること)が給付の受領となる》とまで規定されている。つまりファイルサーバ上のファイルを修正してもらった場合、サーバのハードディスクに保存された時点で、親事業者は受領したものと見なされ、60日後の代金支払い義務が発生するということになる。たとえ検査を受けない未完成品であっても、である。
したがってこのような場合、外部委託先がそれぞれにPCを持ち込み、直接の監視が不可能であるという環境で、少しでも情報漏洩リスクを減らすことを考えなければならない。やはり外部委託先に内部チェックを依頼することは必要であろう。効果に限界があるとはいえ、これであれば依託契約の範囲内で依頼できることであろう。また不正競争防止法でも、教育の実施は秘密情報として認められる要件となっている。そのためには具体的に何をすべきかを指定し、かつきちんと確認していることが確認できる程度の仕組みを作る必要がある。
ここでは自社のセキュリティスタンダードや内部事務手続きから確認項目を洗い出し、それらについてきちんと守っているかをチェックし、定期的に報告を依頼するという手法が考えられる。しかしこのときの報告形式を単なる○×としたのでは効果が薄い。例えば「パスワードは推測されにくいものとし、定期的に変更している」という確認項目があれば、「パスワードと対になるユーザーID数はいくつ」「確認したのは何月何日」レベルまでの報告を依頼しないとすぐにチェックや報告は形骸化してしまう可能性が高い。
内部チェックの依頼に加えて、電子データの受渡・利用に何らかの制限を設ける必要がある。システム的に保証できるレベルでだ。このとき求められる要件は次のようなものとなろう。
(1) 渡したデータは、先方で自由に加工できる。
(2) 渡したデータは、先方で勝手にコピーできない。
(3) 渡したデータは、先方が外部に送信できない。
(4) 渡したデータは、秘密情報であると先方が容易に認識できる。
(1)〜(4)を先方に強制する。
もちろん受渡しをするための事務および媒体の管理は必要である。また、先方でコピーができない以上、少なくとも媒体障害に備えたバックアップはこちらで取得しておく必要がある。
ところが、これらの要件を満たすことは極めて困難である。電子データのコピーを防ぐためには、なんらかのシステム的作り込みによって制限しなければならない。先方に電子データを渡したはよいが、渡した先は使用するパソコンの特権ユーザーID(MS-WindowsではAdministrator)を所有していると考えて間違いない。つまり渡したファイルのアクセス権をいかに設定しようと、特権ユーザーの前では「通常」無力である。つまりアクセス権による制限は使えない。ではパスワードを設定したり暗号化を利用すればよいのか?そのままでは無理である。何しろ渡した相手はパスワードなり復号化キーを知っている。ならば、実際問題として「目くらまし」でなんとかするしかない。
であれば作った側としては「目くらまし」の内部ロジックを間違っても公開するわけにはいかない。セキュリティはその仕組みをオープンにして、なおかつ破られないようなものでなくてはならないという意見に賛同するとしてもだ。また公開先で情報漏洩が起こったとき、自分が疑われるような立場になりたくはない。
逆に使用する側からすると、他人が作ったものを使うわけにもいかない。その他人が目くらましのロジックを知っているからだ。ここでセキュリティホールは内部ロジックを知っている人間だ。
従って、この種のシステム対策は「使いたい人間が、自分で作る」しかない。
ここまで考察を進めた結果、特にセキュリティソフトの専門家に外注することはなくとも情報漏洩防止に効果があるシステム的手段が必要であることが分かった。であれば、それを作れることを実証しなければならない。幸い周囲の人は皆MS-WindowsをいわゆるDOS/V機上で動かしており、プラットフォームは固定されている。そこでデバイスドライバ、OSレベルに踏み込まずともアプリケーションレベルで情報漏洩防止プログラムを試作することとした。なお、私はMS-Windowsのプログラムについて全くの素人ではないにせよ、公式なキャリアとしてはVisualBasicの研修を2日受けただけである。
このレベルのプログラミング技術しか持たない人間が、仕様を考えてから2日以内に実装ができるレベルのプログラムであれば、MS-Windowsのプログラミング経験がある人間であれば苦もなく作ることができるであろうと考え、これを念頭に、仕様を詰めていった。
運用としては、次のような手順を考えている。基本的には、データの格納媒体とデータを加工するパソコンを分離して、セキュリティを確保するという考えである。
(1) 受け渡すファイルは、読み書き可能なリムーバブルメディアに入れる。
(2) リムーバブルメディアへのファイルの格納は委託元が代行する。
(3) 格納ファイルは、受渡ファイルを暗号化+アーカイブしたものとする。また、ファイル加工のための専用アプリケーションを格納する。
(4) リムーバブルメディアは外部委託先に貸し出すが、退社時の保管は委託元が代行する。(つまり受託先は委託元の責任者に、出社時メディアを借用し、退社時に返却することとなる。)
(5) リムーバブルメディア内のファイルバックアップは委託元が代行する。
(6) 外部委託先は、リムーバブルメディアを受け取り、自己使用のパソコンに接続する。
(7) 外部委託先は、専用アプリケーションを起動する。
(8) 専用アプリケーションは、OSの設定を変更し、設定反映のため自動でログオフさせる。
(9) 外部委託先は、再度ログインする。すると、専用アプリケーションはパスワードの入力を求める。
(10) 専用アプリケーションが起動すると、画面は受渡ファイルのみ選択可能なウィンドウが一つ開いただけとなる。ウィンドウにはこれらのファイルは秘密ファイルである旨の表示がある。
(11) 外部委託先はファイルを起動し、参照・編集する。終了すると、専用アプリケーションを終了させる。
(12) 専用アプリケーションは、参照・編集後のファイルを暗号化+アーカイブしリムーバブルメディアに格納する。
なお、受渡ファイルの展開先は外部委託先が使用しているPCのハードディスク内とする。この場合使用中に直接機器の電源を切れば、ファイルは無防備となるが、使用者はシステムを破壊するリスクを負う。そうまでしてファイルを取り出すというのであれば、それは立派な「犯罪」であると考え、ひとまず考慮の対象外とした。リムーバブルメディアの中に受渡ファイルを展開することも考えたが、使用中に抜かれればシステムには殆ど影響を与えず、ファイルを取り出せるため、確信犯的な過失によって漏洩するリスクがあると判断した。
この専用アプリケーションは終了時にPC内に展開された受渡ファイルを破壊した上で削除する。この時点で情報の持ち出しは殆ど不可能となる。なお、実装はしなかったが専用アプリケーションが正常終了しなかった場合、再起動時に展開したファイルを削除するという設定も可能である。なお、展開先をRamDiskにすれば完璧であるが、この場合デバイスドライバレベルの作り込みが必要であり、かつメモリを相当潤沢に積んでいなければならないという制限がかかるので断念した。
上記の流れを説明する途中、(9)でパスワードを入力するとしたが、入力パスワードがそのまま、アーカイブファイルの圧縮/展開パスワード、暗号化ファイルの復号化キーとなるわけではない。受渡に使用するリムーバブルメディアのシリアル番号と組み合わせ、それぞれ演算により求めることとする。これにより、アーカイブファイルのみを別の場所にコピーしても展開できず、内容も分からないようにできる。この演算部分が、このアプリケーションのセキュリティを担う「目くらまし」の部分である。しかしこの程度のセキュリティでも、ロジックが分かっていない限り、易々と突破されることはないだろう。
セキュリティを確保することに関する詳細な要件およびその要件をどのように実現するかについての実現仕様を、表2にまとめた。なお要求仕様書の形式は潟Vステムクリエイツの清水吉男さんの提唱するものを参考に作成している。
(表2) 要求仕様書
要求 |
コピー1 |
受渡ファイルをPCおよび媒体にコピーできなくする。 |
||
理由 |
PCや媒体にコピーされた後の管理がずさんになることを防ぐ。 |
|||
説明 |
コピー防止が不可能な場合は、コピーしても使用でキーなくする。 |
|||
実現仕様 |
コピー1 |
ファイルを暗号化し、かつ、パスワード付きのアーカイブファイルで受渡を行う。その際、暗号鍵、パスワードを受渡媒体のシリアル番号を使用して作る。 |
||
補足 |
ファイルシステムを作らないと、コピーそのものは禁止できない。コピーしても使えなくするのが現実的。 |
|||
要求 |
コピー2 |
ファイル閲覧・編集中のファイル内容のコピー操作を不可とする。 |
||
要求 |
コピー2-1 |
別名保存を不可能にする。 |
||
コピー2-2 |
画面キャプチャーを不可能にする。 |
|||
コピー2-3 |
クリップボード経由のファイル内容コピーを不可能にする。 |
|||
コピー2-4 |
ネットワーク経由のファイルコピーを不可能にする。 |
|||
実現仕様 |
コピー2-1 |
「名前を付けて保存」ダイアログボックスの表示を監視し、表示されれば即座に消す。 |
||
補足 |
メッセージフックで別名保存ダイアログボックスを表示させないことが望ましい。 |
|||
コピー2-2 |
キャプチャーソフトの立ち上げを不可能にする。 |
|||
補足 |
予め指定したアプリケーション以外の立ち上げを不可とする。 |
|||
コピー2-3 |
受渡ファイルの編集・閲覧が終了すると、強制的にログオフさせクリップボードをクリアする。 |
|||
補足 |
受渡ファイルを扱っている以外のウィンドウがアクティブになればクリップボードをクリアする方が確実だが、ファイルの別名保存を不可とする仕様と合わせれば問題はない。 |
|||
コピー2-4 |
TCP/IPのブロックサイズを0にする。 |
|||
補足 |
サービス停止も考えられるが、影響が量れないのでこうした。 |
|||
要求 |
紛失1 |
受渡媒体を紛失しても、部外者には内容が分からないようにする。 |
||
理由 |
媒体の拾得者、盗難者に中身を推測されないことによって、クラッキングを予防する。 |
|||
説明 |
内容を知りたいという好奇心を刺激しない。 |
|||
実現仕様 |
紛失1 |
受渡ファイルを媒体内では1ファイルにアーカイブし、無意味な記号のファイル名とする。 |
||
要求 |
紛失2 |
受渡媒体の内容を復元不能にする。 |
||
理由 |
クラッキングを試みられても、実施を困難にする。 |
|||
実現仕様 |
紛失2a |
アーカイブファイルにパスワードを付ける。 |
||
補足 |
DeepFreezerを利用。ZIPファイルの商用利用にはライセンス料が必要。ZIPの場合、パスワード突破ツールも存在。 |
|||
紛失2b |
アーカイブする以前のファイルを暗号化する。 |
|||
補足 |
パスワードは辞書攻撃等で突破可能なため、暗号化も併用。 |
|||
要求 |
ログイン1 |
別ユーザーでの同時ログインを不可能にする。 |
||
理由 |
ユーザーの切り替えによって、一時ディレクトリを操作することを防ぐ。 |
|||
実現仕様 |
ログイン1 |
ログオフ画面を出さないために次の設定を行う。(1)タスクバー、スタートボタン、デスクトップ上のアイコンの非表示。(2)Windowsキーの無効化。(3)タスクマネージャーの使用禁止。 |
||
補足 |
ログオフできなければ、ユーザーの切り替えもできない。 |
|||
要求 |
アプリ1 |
受渡ファイル以外のものを起動不可とする。 |
||
理由 |
他ファイル・アプリケーションの起動によって、ファイルの中身をコピーしてしまうことが可能となる懼れがあるから。 |
|||
実現仕様 |
アプリ1a |
受渡ファイル以外のアイコンを一切表示させない。 |
||
補足 |
ログイン1の実現仕様と共通。 |
|||
アプリ1b |
受渡ファイルを編集する以外のアプリケーションの動作を禁止する。 |
|||
補足 |
コピー2-2の実現仕様と共通。 |
これを前提として実際に作成した専用アプリケーションの動作順序は次のとおりである。なお、実際のレジストリ変更内容、エラー処理については冗長になるため省略してある。
途中、ファイルを暗号化し、またファイルをパスワード付キーで圧縮する必要があるが、これらについては実装時に独自の作り込みを行わず、米田 昌司さんが作成された統合アーカイバコンポーネント(一部修正)、稲葉 一浩さんの作成されたYz1.dll(DeepFreezer形式の圧縮・アーカイブをサポートするDLL)、およびType74 Software作成の暗号化復号化モジュール「ラインドール」(合衆国政府の公認暗号であるラインダールアルゴリズムをサポート)を使用した。なお、アーカイブファイルの圧縮/展開パスワードおよび暗号化キー作成部分は各自が作成する必要があるため、詳細には述べていない。
(表3) 動作順序「事前準備」(起動〜設定変更〜自動ログオフ)
レジストリ設定 |
セキュリティ確保のために必要なレジストリ設定を行う。 |
|
バックアップ |
プログラム終了後レジストリを元に戻せるようにバックアップをとる。 レジストリエディタを使用する。 |
|
理由 |
生のレジストリバックアップをとるためには、権限取得の必要があり冗長。レジストリエディタを使用するとこの必要がない。 |
|
補足 |
NT系ではレジストリエディタが別スレッドで走るため、起動後終了を待つ処理が必要。 |
|
レジストリ設定 |
個別設定については省略。 |
|
起動設定 |
システム再ログイン時に、ファイル解凍〜復号化〜表示プログラムを起動するように設定。 |
|
ログオフ |
レジストリ設定を反映させるため、自動ログオフ。 |
ここまででPCの設定が変更となり、受渡ファイルを展開する準備が整う。
再ログインを行うと、表4の処理が開始される。
(表4) 動作順序「開始処理」(再ログイン〜ファイル展開)
レジストリ変更確認 |
表3で記述したレジストリ変更が完了しているか確認する。 |
ユーザー確認 |
パスワード入力を促すダイアログボックスを表示し、入力パスワードの正当性を確認する。(アーカイブファイルパスワードを生成して、確認。) |
ファイル展開 |
入力パスワードと受渡ファイル格納メディアのシリアル番号からアーカイブファイルのパスワードを作成し、アンアーカイブを行う。 |
ファイル復号化 |
入力パスワードと受渡ファイル格納メディアのシリアル番号から復号化キーを作成し、復号化する。 復号化したファイルは、専用ディレクトリを作り、格納する。復号化前のファイルは削除する。 |
別名保存制限 |
「名前を付けて保存」ダイアログボックスの表示を監視し、表示されると消すスレッドを立ち上げる。 |
ファイル表示 |
受渡ファイルの操作を可能とするため、受渡ファイルのアイコンを表示するウィンドウをデスクトップに自動で表示する。 |
ここまでで、ユーザーのファイル閲覧・編集が可能となる。
編集後、プログラムを終了させると、表5の処理が走り、PC設定が元に戻る。
表5 動作順序「終了処理」(ファイル格納〜自動ログオフ)
ファイル暗号化 |
プログラム内部に保存しておいた入力パスワードと受渡ファイル格納メディアのシリアル番号から暗号化キーを作成し、各ファイルを暗号化する。 |
ファイルアーカイブ |
プログラム内部に保存しておいた入力パスワードと受渡ファイル格納メディアのシリアル番号からアーカイブファイルのパスワードを作成し、暗号化したファイルのアーカイブを行う。アーカイブファイルは受渡ファイルの格納メディアに保存する。 |
専用ディレクトリ削除 |
作業中のファイルと暗号化ファイルを保管していた専用ディレクトリを内部のファイルと共に削除する。但し、ファイルを削除する前に一度初期化(リセット)し、ユーティリティによる復活を困難にする。 |
レジストリ復元 |
レジストリをバックアップから戻す。 この時、レジストリを修正してレジストリエディタを使用可能に戻しておく。 |
ログオフ |
自動ログオフする。 レジストリ変更を反映し、同時にクリップボードの中身をクリアするため再起動の必要がある。 |
この専用プログラムを使用して情報漏洩防止を図る策の実運用をシミュレーションすると、ファイル格納やバックアップの作業をツールを駆使して合理化したとしても、格納ファイルの選定や媒体の受渡処理などでパソコン一台、一日当たり2〜10分程度の運用負担が発生する。また、ファイル管理を行っているのは結局委託元か外部委託先かという法解釈の問題も完全にクリアされたわけではない。
しかし現行の制度と、パソコンの普及状況を鑑みると非常な困難な課題といえる情報漏洩対策、特に即座に排除することもかなわないスタンドアロンパソコンからの情報漏洩対策の手法の一提案として、参考になることがあれば幸いである。
参考文献
「企業情報犯罪対策入門」(牧野二郎 インプレス 2004)
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(経済産業省 2004)
「営業秘密管理指針」(経済産業省 2003)
「改正下請代金支払い遅延等防止法テキスト」(公正取引委員会 2004)
「ソフトウェア開発委託モデル契約書」(JISA 2002)
「要求の仕様化入門」(清水吉男 SoftwarePeople Vol.4技術評論社 2004)
『裏技必殺技でWindowsを300倍楽しむ本』(滝 栄子 翔泳社 2003)
−