仙石浩明CTO の日記

何をいまさら、という声が聞こえてきそうですが、 社内からの情報漏洩が問題となっている今だからこそ、 あらためて社内情報を扱うサーバを、 社内LAN に置くことの重要性を訴えたいと思います。

もともと、グループウェアといえば社内のサーバに置くのが当たり前だったのですが、 いろいろな情報がグループウェアに蓄積されるにつれ、 社内からだけでなく、社外にいるときもグループウェアにアクセスしたい、 というニーズが高まってきました。

グループウェアを社外からも利用するには、 サーバをどこに置くかで分類すると、 次の 3 通りの方法があります。

1. 社内LAN に置く
   ファイアウォールに穴をあけて社内のサーバへアクセスできるようにするか、 あるいは VPN などの方法で社内からのアクセスを社内へ導く方法です。 正規のアクセス以外の、招かざる客を確実に排除できなければなりません。
2. DMZ 上に置く
   社外からもアクセスできる非武装地帯 (DMZ) にサーバを置く方法です。 ファイアウォールで守られない場所に置くのですから、 サーバは自分自身を守ることができなければなりません。
3. 社外に置く
   他社が提供するグループウェアASP サービスを利用する方法です。 情報管理を他人任せにできるので一番手間がかかりませんが、 万一情報漏洩が起きたときに誰が責任をどうやって取るのか、 契約等ではっきり決めておかないとトラブルの種となるでしょう。

いずれも一長一短があるので、いちがいにどれがいいとは言えませんが、 それぞれどのようなリスクがあるかきちんと把握した上で利用することが重要ですね。

手軽さだけで言えば、もちろん 方法3 が一番簡単なのですが、 手軽なだけにリスク管理が出来ていない人が利用すると、 情報のダダ漏れが起きます。

【警告】Googleカレンダーで情報流出？ から引用:

無防備な人が多いには驚きます。 Googleカレンダーで、 まるでソーシャルブックマークみたいに公開設定をしている人が何人もいます。 実に詳細な仕事のスケジュールが公の場にさらされており

ということも実際に起きているようです。

じゃ、公開設定しなければ安心か、というとそうとも言えません。 別に ASP サービスを提供している会社を信用しないわけではないのですが、 サーバに情報をため込めば、サーバの運用管理を行なう過程で、 どうしたってその情報が漏れるリスクはあります。 万一漏れたときに ASP サービス提供会社がどう責任をとってくれるのか、 確認しておきたいところです。

他人任せにするのは、どうも気持ち悪い、という場合は 方法1 あるいは 方法2 を選択することになります。 方法2 は、ASP サービス提供会社が行なっているのと同等のことを 自社で行なうイメージですね。 自社で運用するので、情報漏洩が起きたときの責任の所在ははっきりしていて いいのですが、 どうやって外部からの攻撃を防ぐかが問題となります。

インターネット上でサーバを安全に運用することが困難だからこそ、 各種 ASP サービスが提供されているわけで、 きちんとしたサーバ運用管理体制を整えずに運用したりすると、 あらゆる攻撃を受けて侵入されてしまうかも知れません。 また、サーバそのものは運用できていても、 グループウェアの側に脆弱性があって、漏洩事故が起きてしまうケースもあります。 そもそも、きちんとサーバを運用できるだけの体制を整えられるのなら、 ASP サービスの提供側になったほうがよさそうです。

と、いうわけで結論は、方法1 の「グループウェア・サーバを社内に置こう！」です。 この方法のいいところは、社内で使っているグループウェア・サーバを、 変更なしにそのまま使えるという点で、 気をつけなければならないのは、正規のアクセス以外の不正侵入を どうやって確実に排除するか、という点です。

社内で使っているグループウェア・サーバをそのまま使うわけですから、 何らかの脆弱性があることを前提としなければなりません。 脆弱性がないなら DMZ に出しておけるわけで、 社内に置く最大のメリットは、多少の脆弱性は許容できるという点にあります。 だから、 正規ユーザ以外からのアクセスは決して、 社内サーバに到達できないようにしなければなりません。

では、どうやって不正アクセスを排除すればいいのでしょうか？ ファイアウォールに穴を開ける方法にせよ、 VPN を使う方法にせよ、 何らかの「入口」を設置して、 そこで正規アクセスと不正アクセスを選別することになりますが、 この「入口」を適切に運用管理することは結構大変です。 不正アクセスを試みる人は、なんとかこの「入口」をだまして 通ろうとするわけで、 「入口」をきちんと運用管理する体制を整えなければなりません。

あれ？ 結局これでは 方法2 と同じですね？

そこで、「VPNワープ」です (我田引水... ^^;)。 VPNワープは、この「入口」を提供する ASP サービスなんです。 グループウェア・サーバ自体は社内に置いて情報漏洩のリスクを抑えつつ (方法1 の長所)、 「入口」の運用管理だけ他社 (つまり KLab) 任せにして手軽さも確保する (方法3 の長所)、 方法1 と 方法3 のいいとこどりの「入口ASP」、それが VPNワープです。

今月末まで無料スタートキャンペーン中ですので、 ぜひこの「入口ASP」をお試し下さい。 BIGLOBE会員のかたは、「エージェント」と「SSL証明書」を ダウンロードするだけで利用できますし、 BIGLOBE会員でないかたも、 初期費用・月額費用が無料の 「コンテンツ」コースに入会すれば、 すぐ VPNワープをお試し頂くことが可能です。

この日記を読んで頂いているみなさまにとっても、 個人情報漏洩対策や内部統制の整備は切実な問題だと思うので、 弊社 (KLabセキュリティ) 主催のセミナのご紹介を... 無料ですので、関心のある方は参加されてはいかがでしょうか (定員 40名なので、〆切られちゃったらごめんなさい)。

# 業務連絡。その1
# こーいうセミナを開催するなら私にも教えておいてください ＞ マーケ本部

内部統制を巡る国内外の動向と IT 統制に係るクリティカルサクセスファクター
日時: 2006 年 5 月 30 日 (火) 13:30 〜 16:10
会場: 株式会社アズジェント 1F ソリューションショールーム
東京都中央区日本橋小網町19-7 (最寄り駅/地図)

# 「クリティカルサクセスファクター」って何？という質問は私にしないで...(^^;)

以下、 申し込みページ より引用:

個人情報保護法が 2005 年 4 月に施行され、個人情報に限らず、 重要な「情報」に対する資産価値としての認識が高まる一方、 情報漏えいや様々な企業の不祥事が頻発しています。 そうした中、2006 年 5 月には、新会社法が施行され、 また、2008 年に導入が予定される [日本版 SOX 法] など、 企業の内部統制の強化が要請されています。 業務が IT に大きく依存している現在においては、 内部統制の目的を達成するために、 IT 統制が不可欠な要素となります。 内部統制、IT 統制に求められているのは、 「アクセス制御」「暗号化」「ログ管理・分析」等の技術的対策のみならず、 業務リスクを睨んだ業務システムの設計や「監査」に対応するための仕組みです。

本セミナーでは、内部統制強化の動向や情報セキュリティ、 コンプライアンスなどの対策に必要なリスク管理を紹介します。

また、セキュリティポリシー遵守のための従業員への「牽制・抑止」効果と、 各部門への「指導・警告」、 および企業努力として監査の記録を残し、 経営層、Public に進捗をレポートできるツールとして 「個人情報スキャナー P-Pointer」のご紹介と、 導入事例をご紹介します。

相変わらず情報流出事件があとをたたないですね。 この日記を読んでる人は技術者のかたが多いと思うのですが、 みなさんはどう感じていますでしょうか？

Winny なんて使ってるからだ、とか
トロイの木馬に引っ掛かるからだ、とか思いますね、ふつう (^^;)。

確かにこれだけ社会問題化しているのに、 いまだに Winny を使い続けるのはどうかと思いますが、 情報漏洩の観点から見れば Winny は単に経路の一つに過ぎないわけで、 トロイの木馬に引っ掛るのであれば、あらゆる経路が利用可能でしょう。

そして、トロイの木馬は、いくらでも巧妙化できるので、 騙される人はあとをたたないでしょう。 「振込め詐欺」があとをたたないのと同じです。 よっぽど人数が少ない会社でない限り、 従業員の全てに「絶対に騙されない」よう求めるのは非現実的かも知れません。

ウチの会社は Winny を禁止しているから大丈夫、なんて思っていると、 ある日突然、社外秘のはずの情報が某掲示板などで晒されて大慌て、 などということになるかも知れません。 なにせ、たった一人の従業員が騙されてトロイの木馬を実行するだけで、 漏洩は起こり得るのですから。

かといって漏洩経路の大元であるインターネットとの接続を断つ、 というのはインターネットがこれだけ便利なものになってしまった昨今、 なかなか難しいものがあります。 今や何をするにも、まずちょっと google で調べてから、というのが 習慣化している人も多いのではないでしょうか。 そもそもセキュリティってのは利便性とのトレードオフであって、 漏洩を防ぐためにインターネットを使わないというのは、 漏洩が恐いから社外秘の情報は全て金庫にしまっておく、と 言ってるのと大差ないわけです。

では、どうすればいいのか？

セキュリティの基本、すなわち「教育」に立ち戻るべきでしょう。 セキュリティというと、ファイアウォール、IDS、シンクライアント、 暗号化、セキュリティトークン、USB の無効化、... 等々、 ありとあらゆる仕掛けが雨後の竹の子のように提案されていますが、 シンクライアント化を押し進めていたはずの某巨大企業グループでも 情報漏洩事件が起きたように、 仕掛けだけでは自ずと限界があります。

「従業員のセキュリティ意識向上」抜きには、 どんな仕掛けも「仏作って魂入れず」になってしまいます。 まずは、従業員一人一人が、
自分のPC の中にどんな情報が入っているか把握すること、
自分のPC が漏洩元になるかもしれない、という意識を常に持つこと、
こそが情報漏洩対策の第一歩だと私は思います。

とても小さい一歩のようにも見えますが、 もし従業員一人一人が、自身の問題として、 自分の PC 内の情報の把握することの必要性を実感した上で行なうのであれば、 把握するだけでも大きな効果を発揮することでしょう。

まずはできるところから、一人一人が自分の PC をスキャンして、 どんなファイルがハードディスクの中に入っているか確認するだけでも、 それが自発的な行動であるなら、 漏洩防止に向かって大きな一歩を踏み出すことになります。 大掛かりな仕掛けより、一人一人の意識改革が重要、そんな思いから 個人情報スキャナ P-Pointer を 開発しています。 無料体験版をダウンロードしてお試し頂けます。

昨日は、ノートPC が盗まれても VPN-Warp の relayagent をインストールしておけば、 そのノートPC がどこにあっても外部から操作して、 いろいろ (?) 対抗策を打てる、というお話をしました。

でも、これはあくまで「最後の手段」、 どうにもならないときの「自爆ボタン」という位置づけにしておいて、 できれば押さなくても済むようにしておきたいものです。

では、どうすればよいか？

まず最初にやるべきことは、 ノートPC にどんな情報が入っているか把握することでしょう。

え？ そんなの当たり前だって？

でも、みなさんは自分の PC の中にどんなファイルがあるか、 全て把握できていますか？ 自宅で仕事をやろうと思って社外秘な機密文書をノートPC に入れて 持ち帰ったことはありませんか？

一時的にノートPC に仕事関連のファイルをコピーする、 などということはありがちで、 用が済み次第きちんと消せばまあいいんでしょうけど、 悲しいかな人間は忘れる動物です。 このファイルは取扱い注意と思っていても、 仕事が一段落して落ち着いた瞬間に忘れてしまい、以後そのまんま、 なんてことはよくあることなのではないでしょうか。

じゃ、定期的にノートPC の中の全ファイルを調べて、 不要になったファイルを消して、と...

ちょっと待ってください。 いまノートPC にどれだけ沢山のファイルがあります？ 全てのファイルをリストアップするだけでも日が暮れてしまいませんか？ おまけに、ファイル名からだけでは、どれだけクリティカルなファイルか、 分からないケースも多いですよね？ 全てのファイルをいちいち開いて中身を確認するんでしょうか？ ファイルを一つ一つ中身を確認するなんて単純作業は、 PC に任せてしまいところです。

解決すべき課題は二つあるように思われます。

各種フォーマットのファイルの中身をどうやって参照するか

PC の中には Word 文書あり、Excel ファイルあり、 その他さまざまなフォーマットの文書やデータがあって、 中身を参照するといっても一筋縄にはいきません。

中身が参照できたとして、 クリティカルなファイルか否かをどうやって判断するか

ある特定の単語を検索するだけなら方法はいくつかあります。 例えば Microsoft Office にも、 指定したディレクトリ内の文書全ての中から 特定の文字列を検索する機能があります。 しかし、「クリティカル」なファイルというのは、 単にある文字列があるか無いかで判断できるようなものではないですね。

続きは次回に...

VPN-Warp の応用例の第一回目は、 ノートPC に VPN-Warp の relayagent をインストールしておくことによって、 そのノートPC が万一盗まれたり紛失したりしたときに、 外部から操作できるようにしておく方法の紹介です。

VPN-Warp の使い方の基本的なところを説明した、
VPN-Warp 入門編 6 回シリーズも合わせてご参照下さい:

• 入門編 (1) VPN-Warp の特長: ふつうの SSL VPN と比べて
• 入門編 (2) VPN-Warp の特長: ssh のポートフォワードと比べて
• 入門編 (3) stone & relayagent の設定方法
• 入門編 (4) stone の代わりに OpenSSL の s_client を使ってみる
• 入門編 (5) stone の代わりに普通の WWW ブラウザを使ってみる
• 入門編 (6) WWW ブラウザを使う場合の注意点
• 応用編 (1) VPN-Warp 試用ライセンス提供開始のお知らせ

relayagent をノートPC にインストールしておくと、 常にリレーサーバに対して https アクセスを試みます。 もちろん、ネットワークにつながっていなければアクセスは失敗するわけですが、 きょうび PC をネットワークにつながずに使うというのは、 かなりレアケースと言えるのではないでしょうか。 何をするにも WWW へのアクセスは必須ですからね〜。

で、WWW へアクセスすることができる環境 (正確に言うと https へアクセスできる環境) でありさえすれば、 たとえファイアウォールの中であろうと、 relayagent はリレーサーバに接続することができます。

そして、relayagent がリレーサーバに接続しさえすれば、 そのノートPC がどこにあろうと、リモートから操作することができます。 例えば Windows 標準のリモート デスクトップや、 VNCなどの リモート コントロール ソフトウェアを使って、 例えば重要ファイルを (漏洩する前に) 消すなり、 ハードディスクごと消去してしまうなりできるでしょう。 あるいは、 そのノートPC を拾った人へのメッセージをデスクトップに表示しておくことにより、 もしかしたら返してもらえるかもしれません。

というわけで、早速設定方法です。 まず relayagent の設定ファイルは次のようになります。

-c "C:/Program Files/KLab Security/VPNワープ relayエージェント/user.pem"
-k "C:/Program Files/KLab Security/VPNワープ relayエージェント/user.pem"
-n
relay.klab.org:443 localhost:3389

「-c」オプション、「-k」オプションで、 それぞれ公開鍵と秘密鍵 (この場合は同じファイル名ですね) を指定し、 「-n」オプションは、 relayagent をポートフォワーダとして使うための設定ですね (入門編 (3) を参照してください)。 フォワード先は、「localhost:3389」つまり リモート デスクトップ サーバのポートです。 VNC を利用する場合は、3389番ポートの代わりに 5900番ポートなどを指定することになるでしょう。

設定ファイルである「C:\Program Files\KLab Security\VPNワープ relayエージェント\relayagent.cfg」を 直接編集してもいいのですが、 Windows 版 relayagent では、 「コントロールパネル」の「プログラムの追加と削除」から 「VPNワープ relayエージェント」の「変更」を行なうことで GUI で設定変更することもできます。 この場合、設定ウィザードが表示されますから、

対象サーバ:      localhost
対象ポート:      3389
relay サーバ:    relay.klab.org

HTTP 以外のプロトコルを中継する

公開鍵:  C:/Program Files/KLab Security/VPNワープ relayエージェント/user.pem
秘密鍵:  C:/Program Files/KLab Security/VPNワープ relayエージェント/user.pem

を、それぞれ指定することにより、設定ファイルの変更が行なわれます。 あとは、「コンピュータの管理」の「サービス」で 「Relay Agent Service」を「開始」するか、 あるいは Windows を再起動するだけです。 これで、ノートPC 側の設定は全て完了です。

次に、このノートPC を外部からコントロールする側の PC (ここではデスクトップPC と呼ぶことにしましょう) の設定です。 設定といっても、stone を以下の設定で実行するだけです:

-q cert=user.pem
-q key=user.pem
relay.klab.org:443/ssl,http localhost:3388 "GET / HTTP/1.1"

SSL証明書 user.pem は、relayagent の設定で使ったものと同じものを使います。

これで、デスクトップPC の 3388番ポートが、 ノートPC の 3389番ポートへ、フォワードされます。 しかも、ノートPC がどこにあろうと、間にファイアウォールがあろうと、 ノートPC から WWW へアクセスできる限り、ポートフォワードが常に行なわれます。

したがって、あとはデスクトップPC 上で「リモート デスクトップ接続」を 実行して「localhost:3388」へ接続すれば、 ノートPC を自在に操作できるというわけです。 今回紹介した例では「リモート デスクトップ」を使いましたが、 「VNC」やその他のリモート コントロール ソフトウェアでも全く同様に 使うことができます。 また、SSL 証明書は前述したようなファイル(user.pem) で置いておくのではなく、 Windows の証明書ストアや、USBトークン、ICカードなどの、 よりセキュアな場所に置いて利用することもできます。

KLabセキュリティの主力製品である、 個人情報スキャナ 「P-Pointer」 の広告を、4/14 から一ヶ月間、地下鉄に出すことにしてみました。 インターネット広告が伸びつつある今、 時代に逆行しているようですが、 交通広告という従来型の広告がどれだけ効果があるか楽しみです。

東京メトロ 地下鉄 半蔵門線 に掲載した、 P-Pointer の 窓上広告:

一般的には、窓の上の広告なんて (見上げないと見えないから) 誰も見ないだろうということで、 吊り広告などに比べると安価な窓上広告なのですが、

      我々がリーチしたい人達はラッシュの時間帯に乗る通勤客
        ↓
      ラッシュ時間帯の田園都市線は死ぬほど混む
        ↓
      とても新聞とかを読めるような状態ではない
        ↓
      地下鉄だから景色を見るわけにもいかない
        ↓
      仕方ないんで窓の上の広告でも見るか

となるので、 混雑する通勤路線であればあるほど窓上広告は効果的だと想像した次第です。 私自身、毎朝毎晩、ラッシュの田園都市線 (渋谷から西へ伸びる東急路線です。地下鉄半蔵門線と相互乗り入れしています) で通勤していて、 窓上広告を見る機会が多かったりしますし、 沿線にはいわゆる「IT業界」の会社が多く、 「個人情報」にセンシティブな人が多いだろう、 ということで半蔵門線を選びました。