前回、PanasonicのLet’s Note「T2」を買ってから1年ちょっとしか経ってないのに、後継の「T4」を買っちゃいました。
監査法人や法律事務所でも、Let’s Noteをまとめ買いしてるところをよく見かけますよね。今回、私が注目したのは、軽さと頑丈さ、電池の保ちが(公称)12時間と格段にアップしたということの他に、セキュリティ機能の強化が大きいです。
WindowsXP自体のファイル暗号化機能に加えて、ハードディスク自体にパスワードを設定し、その暗号鍵をTPM(Trusted Platform Module)という専用チップ側に持たせています。パソコンのハードディスクを外してアタックされる場合の強度が増してるわけです。
機密度の高いデータを持ち歩く職業の場合、こうしたデータの入ったパソコンを(もちろん、紛失しないように最大限の注意を払うのは当然として)、紛失した時にも最悪の事態にならないようにする必要があるかと思います。
先日、パソコンを紛失して新聞記事になっちゃった某監査法人のエラい方と話をしていたんですが、聞けば、「あのパソコンはちゃんと暗号化はされていたんです」とのこと。おまけに、パソコン自体のパスワードだけでなく、調書のシステムに入るためにもさらにパスワードが必要だったり、伺う限りではかなりちゃんとセキュリティ対策をしてらっしゃった模様です。
通常それくらいやってあれば、(専門家がそのパソコンを狙って盗んだのでもない限り)、中のデータを盗み見られるということはまずは無いかと思いますが、「金融庁の見解では、『見られたかどうかがわからないので、それは事故に当たる』ということになった」とのこと。
紛失した場合に、技術的にどこまでやっていれば金融庁さんに許してもらえるのかというのは、非常に興味ありますね。例えば、間違ったパスワードを5回くらい入れると、スパイ大作戦風にデータが全部消えちゃうとか。または、(もうちょっとブロードバンド環境が整ったら)、持ち運ぶノートパソコンはもっとthinクライアント的にして、データはすべてサーバー側に置いておき、ノートパソコン自体にはデータを一切残さないようにするとか。(それはそれで、サーバー側と通信部分とに別のリスクが出て来ますが。)
大手監査法人は組織もデカく、国際的な提携も進んでいて、社内にセキュリティの専門家もいらっしゃいますので、情報セキュリティについての態勢もそこそこのレベルにはなっているのではないかと期待されるわけですが、例えば法律事務所の情報セキュリティ運用レベルってどうなんでしょうか。今は数百人規模でも、つい十年前までは個人商店っぽい運営をしてたりするとすると、事務所の情報セキュリティ方針についてリーダーシップを取るべき上層部の方はあまり、「暗号化をどうするか」といったことには興味なさそう。パソコンに入ってるデータの「ヤバさ加減」では、監査法人よりも法律事務所の方がさらに上でしょうし。
最近の監査法人は一人一台ノートパソコンを持たせて調書をすべて電子化する方向ですし、法律事務所などでもノートパソコンを使うところは増えてきてますので、そうした専門家の持ち歩くノートパソコンは、すでに日本全体で1万台単位になっているはず。
前述の監査法人さんは真面目に金融庁に届け出たわけですが、よく考えたら、すでに1万台以上存在するパソコンのうち、その1台しか紛失してないというわけは無いですよね? つまり、「紛失したけど表面化していない」パソコンももっとありそうです。
・・・と考えると、ちょっと怖くなって来ますね。
(ではまた。)
[PR]
メールマガジン週刊isologue(毎週月曜日発行840円/月):
「note」でのお申し込みはこちらから。
Let’s Note Y2、買いたいけど買えない。
リーマンには、サブノートに25万円はちょっと高い。
法律事務所と情報セキュリティ
著名ブロガーの磯崎先生や、けやき通り会計事務所さんのブログで、情報セキュリティの
はじめましてibm9121と申します。いつも楽しく拝見させていただいております。(“やる気のないダースベイダーのテーマ、夏休みの終わりを感じ、さびしくなりました)
さて、金融庁も納得するようなセキュリティというと、ご存知かとは思いますがITの世界で公開鍵暗号方式というのがあります。公開鍵と秘密鍵両方が揃わないと開かないところがミソで、暗号通信したい相手に公開鍵を渡し、私しかもっていない秘密鍵で暗号されたデータを開きます。ノートPCの場合、公開鍵をPCに入れて暗号化し、私ししか持っていない秘密鍵(の入ったSDカード)を指さないと、電源がONにならない。そんな方法が考えられます。
しかし欠点もあって、特許を持っている会社があり、中々簡単に利用できない(DVDの暗号ソフトはプレーヤーメーカーが無償公開しましたが、暗号で儲けている会社なので中々...)。複合化に時間が掛かる(PCの起動が遅くなります)。秘密鍵も一緒に盗まれたら当然の事ながら効果なし。といった具合で広く普及していないのが実態です。
次世代技術に量子暗号化というものもありますが、これは試作中でまだ速度が実用にレベルに達していません。
といった感じでのセキュリティですが、エネルギーの世界では、原始人が火→産業革命で石炭→その後石油、第二次世界大戦後が原子力、そしてこれから21世紀は水素?といった感じで、時代によって変わってくるものですので、どこでもノートPC時代は原子力並みのセキュリティ基準が必要なのかもしれません。(もっとも原発情報も流出だそうですが...「原発情報また流出」 http://www.itmedia.co.jp/news/articles/0508/30/news065.html )
>「金融庁の見解では、『見られたかどうかがわからないので、それは事故に当たる』ということになった」
これひどい話ですよね。w
その反面、メールはどの会社も官公庁も平文でブリブリ流してると。
ISPとか組織内部にちょっと悪いやつがいたら、簡単に流出しますよ。
それに比べたら、その某監査法人のノートPCはよほどセキュアだと思いますけどね。
人間が気をつける、という方法だけで交通事故をゼロにするというのは不可能です。
人間は忘れるもの、ミスをするものという前提に立った上で「できるだけ交通事故が起こらないような道路やルールを作る」「事故が起きやすいポイントを洗い出し、重点的に対策する」「交通事故に強い車を作る」といったような、多方面からの改善努力が必要ですね。
ibm9121さん、
「公開鍵暗号方式」は大変広く普及していると思います。
また、「公開鍵と秘密鍵両方が揃わないと開かないところがミソ」とありますが、正確には、開けるのは「秘密鍵」だけでOK、閉じるのに公開鍵が必要かと思います。
公開鍵方式は、主として鍵配送問題の解決に使われているのであり、公開鍵方式を用いたからノートパソコンの暗号強度が上がるというもんでも無いと思います。
量子暗号も、「速度が実用にレベルに達していません」から使われていないという以前に、ノートパソコンに保存された情報の暗号化に使うものではなく、通信経路の盗聴やなりすまし等に対するセキュリティを高める方向で利用が検討されてるもんだから、じゃないでしょうか。
(取り急ぎ。)
磯崎様
レスありがとうございます。不明瞭・不明確なコメントしてしまってすみませんでした。
IT業界にも大変お詳しく、またご指摘の鋭さに感服いたしました。
ご指摘の通り、開ける時が秘密鍵で、閉じる時が公開鍵。これに対して共通鍵は開ける時も閉めるときも同じ鍵です。私が言いたかったのは、公開鍵・秘密鍵は両方の鍵を解読しなければいけないが、共通鍵だとこの鍵だけ解読すれば良いというわけで、その意味だけならペアの方が安全だろうというわけで、この意味だけで書いちゃいました。
鍵配布も、共通鍵の鍵配布に公開鍵・秘密鍵のペアを使う、この使われ方は磯崎様のレス通りで、大変広く使われています。
量子暗号は光ファイバーの通信経路の盗聴から応用が始まってますので、これもご指摘通りです。私はこの原理を、自分以外が(HDD等の)データにアクセスしたことを物理的に残せるのではないか?と思いまして、それには速度が必要と思った次第であります。
暗号エンジニアと会話しているみたいで、汗(~_~;)。ヒェー、お許しくださいませ〜。
磯崎さん、
お久しぶりです。
そんなパソコンが、商品として現われたんですね。
土建屋さん用の頑丈な防水パソコンというのも松下の製品だったと思いますが、
さすが木目細かいですねぇ。
しかし、ハードディスクの容量UPの為の換装なんてことを考えると面倒そうですね。
あ、法律事務所の人がそんなことするわけがないか(笑)。
むしろ取り出した時点で完全に読めなくなる方が安全ですね。
> 間違ったパスワードを5回くらい入れると、スパイ大作戦風にデータが全部消えちゃうとか
もそうですね。
しかし、滅多に使わないパスワードなんて覚えてられないし、近くにメモしておい
たらセキュリティの意味がないし、記憶力に自信のない私は、その方法は使えま
せん(笑)。
困ったもんです。
安全と便利さは表裏の関係だから仕方ない、 というようなことをエンジニア側が
言ってはいけないんでしょうけれども・・・。