 |
ハードディスク暗号化 McAfee Endpoint Encryption導入事例 |
 |
情報システム課 情報政策係長
黒澤 一浩氏 |
情報システム課 課長
沢野 進氏 |
 |
| 埼玉県北西部に位置する深谷市では、市民の重要な情報を守ることを目的とする情報セキュリティ管理委員会が2002年に発足した。発足と同時に情報セキュリティに関するポリシーが策定され、1人1台支給のパソコンをワイヤーで固定するというセキュリティ対策が実施された。一方で、06年1月には隣接する岡部町、川本町、花園町との合併が予定されており、さらにその当時世間では個人情報漏えい事件が相次いで報道されていた。そのため、深谷市ではたとえパソコンの盗難事件等が発生したとしても情報が漏れないようなセキュリティ対策を総体的に講じる必要があった。深谷市の情報セキュリティ管理委員会では、すべてのパソコンのハードディスク暗号化を図ることを決定し、情報漏えい対策ソリューションに豊富な実績をもつマクニカネットワークスが提供する「SafeBoot Device Encryption(SafeBoot DE)」を導入した。 |
都道府県や市区町村など地方自治体で取り扱われる情報には、戸籍情報や住民情報など、住民の生活に関わる重要な情報が存在する。同時に、市役所のように人の出入りがある程度自由な公共施設では、不審者の侵入というリスクが常につきまとう。こうしたオープンな場所でパソコンの盗難や紛失の可能性をゼロにすることは難しいが、ハードディスク内のデータを暗号化することで盗難、紛失による情報漏えいのリスク
を0%に近づけることは可能だ。
「セキュリティワイヤーなどの物理的対策では、カバーできるリスクに限界があります。パソコンが盗難に遭いハードディスクを取り出された場合に備えて、ハードディスクのデータを丸ごと暗号化するのがベストと判断しました」と、情報システム課 課長の沢野進氏は語る。
ファイルやフォルダ単位の暗号化では、ユーザが重要データを必ず暗号化フォルダに保存する必要があるなど、ユーザの意識や操作にセキュリティ強度が左右されるという課題が残る。一方、ハードディスク全体暗号化の場合、ユーザは暗号化するためのオペレーションを意識する必要がなく、かつすべてのデー
タを強固に保護することができる。 |
|
| ハードディスク暗号化製品の導入 サーバの一元管理機能を重視
|
|
|
情報システム課では、ハードディスク暗号化製品の導入候補を3製品に絞って機能を比較検討。暗号化の強度が高いこと、ユーザへの負荷が少ないこと、一元的にユーザやパソコンの管理を行えること、さらに万が一パソコンが盗難・紛失にあった場合でも情報が暗号化されていることを具体的根拠をもって公に説明できることなどの観点から検討した結果、SafeBoot DEが最有力候補に挙がったという。
「サーバによる一元管理機能はとくに重視した項目でした。合併により市域も広くなり、管理するパソコンの台数も増えることが確実でしたから、ネットワーク上で管理できないと導入も運用も容易ではありません」と、沢野氏は振り返る。
合併後の新・深谷市では、本庁舎と総合支所(旧町役場)のほか、公民館、図書館、幼稚園、保育園などの公共施設で使用するパソコンが合計1200台にのぼり、管理対象のパソコンが増加する。この点SafeBootシリーズはリソースの管理を容易に行える。ポリシーを含む設定情報やインストール状況、暗号化状況、認証状況のログをとることができ、対策状況の把握と証明まで可能だ。
合併直後の06年1月、まず総務部内のパソコンにインストールを開始。3週間の試行期間を経て、06年2月からすべてのパソコンに対象を広げ、3月上旬には導入が完了した。インストール作業が容易なため、業務を止めることなく短期間に大量導入を実施でき、かつインストールと暗号化完了の確認はサーバ上で行えるため、確実な導入を実現することができたという。
SafeBoot DEを実際に使用している職員の反応について、「暗号化によりパソコンの動作が遅くなったという声はまったくありません。職員が製品を唯一意識するのは、OS起動前のパスワード入力時だけです」と情報システム課情報政策係長の黒澤一浩氏は話す。
SafeBootシリーズの国内導入実績は1400社、64万ライセンス以上で、地方自治体への実績も多数ある( 07年3月末現在)。また、深谷市で実施した今回のセキュリティ強化策は、結果的に06年9月に改正された「地方公共団体における情報セキュリティポリシーに関するガイドライン(総務省)」の内容を先取りするかたちとなった。関係者からも注目される先進的事例として、今後も他の自治体のよい参考となるだろう。 |
総務省は、2001年3月に「地方公共団体における情報セキュリティポリシーに関するガイドライン」を策定し、地方自治体によるセキュリティポリシーの策定・運用・見直しの実施を推進してきた。ガイドラインは、03年3月の一部改定を経て、06年9月に全面改定された。
今回の全面的な見直しは、政府の情報セキュリティ政策会議が決定した「重要インフラ指針」を踏まえるとともに、個人情報の漏えい等の情報セキュリティ侵害事案の状況、情報セキュリティに関する新たな対策技術の動向、政府機関の情報セキュリティ対策のための統一基準、および情報セキュリティに関する国際規格などを考慮して実施された。同時に、情報セキュリティ対策基準の構成がPDCAサイクルに合わせて変更されるなど、全体的に分かりやすい内容と表現に変更されている。
また、セキュリティ対策を強化する観点から、各地方自治体が必要に応じて実施することが望ましい事項については、「推奨事項」として例文に挿入されている。
例えば、自治体職員が使用するパソコンの不正利用や紛失、盗難による情報漏えいを防ぐために、「ワイヤーによる固定等の物理的措置」を講ずることと「情報システムへのログインパスワード」を設定することは、標準的な対応として例文に挙げられた。
これに加え、「ディスクデータの暗号化等の機能を有効に利用」することや「BIOSパスワード、ハードディスクパスワード等を併用」すること、「パスワード以外に指紋認証等の生体認証を併用」することなど、パソコンが盗難に遭った場合でも情報が不正使用される可能性を減らす対策が推奨事項として例示された。
さらに、セキュリティポリシーの遵守状況を確認する体制の整備も例示されている。これは、セキュリティポリシーを実際に運用するうえで、ポリシー違反の有無やポリシーの問題点を明らかにすることが必要であり、確認の結果、問題があった場合には最高情報統括責任者の速やかな対処が求められるとする内容だ。
パソコンなど情報端末の台数が増えれば増えるほど、事後にアクセスログを解析するだけでは異常発生時の対応が後手にまわってしまう。ネットワークシステムが常識となった現在では、サーバからクライアント情報を一元管理することでセキュリティポリシーの遵守状況も把握できる機能が求められているといえるだろう。 |
|
|
|