「ロード・ウォーリア(路上の戦士)」などとも称されるモバイル・ワーカーは、変化の早い今日のビジネス環境において、ますます重要な存在になりつつあります。社外で業務を行うことが多く、勤務時間の少なくとも半分をオフィスの外で過ごすモバイル・ワーカーは、重要なビジネス・データを持ち歩いたりやり取りしたりするために、ノート PC や PDA、ポータブル・ストレージ・デバイスを使用しています。多くの場合、こうしたデータのセキュリティはデバイスの物理的な安全性に依存します。簡単に言うと、モバイル・デバイスが盗難に遭った場合、同時にデータも盗まれるということです。
ネットワーク経由でのデータの盗み出しを防ぐため、今日のほとんどのノート PC には、何らかのアンチウイルス・ソフトウェアやパーソナル・ファイアウォールがインストールされています。しかしながら、ノート PC や PDA 自体を盗まれたり、うっかりタクシーに置き忘れたりした場合、これらのソフトウェアは何の役にも立ちません。市場調査会社の Gartner が2006年に実施した国際調査によると、情報漏洩/盗難の25パーセントはネットワークへの侵入が原因である一方、データ侵害の60パーセントはモバイル・デバイスの紛失や盗難が原因となっています。このことを踏まえると、データを全面的に暗号化してセキュリティ対策を強化することが、今日の企業において急務になっているといえます。
データを暗号化していない場合に生じるコスト
デバイスの物理的な紛失や盗難がデータ・セキュリティにとっての弱点であることは、世界中の新聞やニュース・サイトで報じられているとおりです。例えば米国では、10万件以上の個人情報が保存された運輸保安局(TSA)のコンピュータが盗まれるという事件が発生しています。英国では、ノッティンガムシャー州の病院で1万1,000人の子供に関するデータが保存されたノート
PC が盗まれています。さらにニュージーランドの内国歳入庁(IRD)では、2006年の資産監査の結果、106台のコンピュータとその中のデータが行方不明になっていることが明らかになっています。このように、デバイスの紛失・盗難事件は連日世界中で多数発生しているのが現状です。
企業や政府機関の幹部にとって、このようなデータ紛失・盗難によって発生する金銭的・時間的なコストや組織の信頼失墜は、計り知れないほど大きなダメージです。まず、データの復元に要するコスト、訴訟を受けた場合の裁判費用、無償のクレジット・モニタリングといった補償サービスの費用が発生します。これは、漏洩した個人情報の件数によっても異なりますが、数百万ドルに及ぶ場合があります。また、顧客の信頼を回復するためのコストや労力も発生します。これは、非常に膨大であると同時に、算出が困難なコストです。その一方、株式会社の場合には、極めて簡単に算出できるコストも生じます。すなわち、株価の急落とそれに伴う破滅的とも言える時価総額の目減りです。クレジット・カード番号が流出した場合には、カード1枚あたり通常30ドル~100ドルのコストも発生します。
新たな脅威
このように、ノート PC が大きな問題になっている一方で、ネットワーク管理者やセキュリティ管理者が対処しなければならない新たなデータ・セキュリティ問題も浮上してきています。
USB メモリ、iPod などの MP3 プレイヤー、スマートフォンといったポータブル・ストレージ・デバイスに関する問題です。ロンドンで開催された 2007 InfoSec セキュリティ・カンファレンスの出席者を対象に行われた調査では、中~上級 IT マネージャの約40パーセントが、これら一見無害に思えるデバイスをセキュリティ上の最大の懸念事項であると見なす一方、80パーセントがこれに対して実効性のあるセキュリティ・ポリシーを策定していないという事実が判明しています。
チェック・ポイントがベルギー、ルクセンブルグ、オランダの IT プロフェッショナルを対象として2006年に実施した調査でも、同様の危うい傾向が明らかになっています。この調査では、回答者の76パーセントが、USB デバイスに保存された情報を保護するためのデータ・セキュリティ対策を講じていないと回答していました。回答者300人のほぼすべてが、USB メモリ・デバイスを日常的に使っていると回答しているにもかかわらずです。
これらのデバイスを使うこと自体に問題はありません。デバイスを紛失したり盗まれたりすることが問題なのです。ノート PC や PDA よりも格段に小さい USB メモリ・デバイスは、出張や営業活動での移動中に、ホテルやタクシー、飛行機、レストランなどに置き忘れたりしがちです。例えば2006年には、米国の核兵器研究施設ロスアラモス国立研究所に契約業者として出入りしていた人物が、機密文書を USB メモリにコピーして自宅へ持ち帰ったことを認めており、もしこれを紛失するなどしていた場合、大変な問題になっていたことでしょう。モバイル・ユーザの間では USB メモリがますます広く使用されるようになっており、この種の問題は今後さらに増えることが予想されます。
暗号化のメリット
モバイル・デバイス上のデータを暗号化すると、デバイスが紛失・盗難に遭ったときのリスクを排除することができます。暗号化されたデータは、それを復号化する手段を持たない者にとっては無価値です。通常、暗号化ソフトウェアは、アルゴリズムと呼ばれる数式を用いてデータを処理し、それらを「暗号文」に変換します。データを変換した後は、パスワードなどの資格情報を入力しなければデータにアクセスすることができません。この資格情報が外部に漏れない限り、権限のない者がデータにアクセスすることは事実上不可能となります。
チェック・ポイントのアプローチ
チェック・ポイントの Pointsec 製品は、強力な暗号化とアクセス制御の仕組みを組み合わせることで、極めて高いレベルのデータ・セキュリティを実現します。Check
Point Full Disk Encryption、Pointsec Mobile、および Check
Point Media Encryption というセキュリティ製品が、あらゆる種類のモバイル・デバイスのための実績ある防御機能を提供します。これらの製品では、フルディスク暗号化からリムーバブル・メディアのポート管理と暗号化に至るまで、さまざまな機能が提供されます。これらの製品は、あらゆる規模とタイプのネットワークに容易に導入することが可能であるほか、エンドユーザからは透過的に動作するため、データ・セキュリティ・ポリシーを確実に実施することができます。
さらに、暗号化ポリシーの管理は SmartCenter for Pointsec を使用して集中的に行うことができるため、ネットワーク管理者やセキュリティ管理者は同じ設定を何度も繰り返し行わずに済み、重要な機密情報の安全性を効率よく確実に維持することが可能です。これらの暗号化ソリューションを導入することで、組織の幹部は、仮にモバイル・デバイスの紛失が発生したとしても、大規模なセキュリティ侵害を心配することなく、より重要性の高い業務に注力できるようになります。