管理者を悩ます一般消費者向けのストレージ機器

この記事のURLhttp://japan.internet.com/webtech/20080421/10.html

Apple が2007年9月に発売した容量160GB の『iPod classic』は、音楽や映画を愛する人にとっては夢のマシンだ。だが、企業の情報セキュリティを預かる IT 担当部署にとっては、悪夢といえる。

なぜなら、このポケットサイズの USB ストレージ機器をコンピュータに接続すれば、どんな従業員でも、メーリングリストをはじめ、データベース、財務データ、顧客の個人情報に至るまで、膨大な量の企業情報を盗むことができるからだ。

こうした問題に対処するため、USB などの接続ポートを遮断する周辺機器管理製品の提供に乗り出すベンダーが増えている。ほとんどの製品は、サーバー上で動作する設定プログラムと、エンドユーザーのマシン上で動作するエージェントが組み合わさって機能するものだ。数年前まで、こうしたソリューションは比較的単純だったが、いまや『Active Directory』と連動し、グループポリシーに従ってユーザーの周辺機器接続ポート利用を認否できるまでに洗練度が増している。また、使用するストレージ機器を特定のものだけに制限することもできる。たとえば、iPod にはデータを移せないが、適切な暗号化技術を備えた USB メモリならデータを移せるといった設定が可能だ。

Lumension Security のソリューションおよび戦略担当ディレクタを務める Don Leatham 氏によれば、従業員が日常的に USB ポートにアクセスして仕事をしている場合、この種の管理ソフトウェアの導入は、破壊的な影響を及ぼす危険性をはらんでいるという。同氏は、まずどのようにデータが出入りしているか確かめて、運用ポリシーを決めることが大事だと語った。Lumension Security は、周辺機器管理製品『Sanctuary Device Control』を手がける会社だ。

商用ソリューション以外に、オープンソースのツールを使う道もある。『TrueCrypt』というオープンソース アプリケーションをインストールすれば、どんな USB ドライブでも、安全なストレージ装置として使用できるようになる。このアプリケーションは、パスワードがなければアクセスできない暗号化ボリュームをドライブ内に作成するものだ。暗号化ボリュームのマウントに必要なドライバは、ドライブの非暗号化部分に保存できるため、可搬性も阻害しない。

TrueCrypt ボリュームの欠点は、パスワードの推測が容易な場合、総当たり方式で暗号化ボリュームの内容にアクセスされかねない点だ。さらに重要な点は、TrueCrypt に暗号鍵回復の手段がないことだ。そのため、従業員がパスワードを忘れてしまった場合、中のデータが失われる可能性が高い (これは、パスワードを機器自体にメモ書きしていないと仮定した場合の話だが、もっとも、そうしたメモを残せば、暗号化の意味が完全になくなってしまう)。企業向け市場で暗号鍵管理分野が成長している理由の中には、こうした問題もある。