スチームが知りたい！

会員制リゾートが人気ですね

数年前から会員制リゾートの存在は知っていました。数十年前の当時は若かったのであまり関心はありませんでしたが、最近またよく見るようになった会員制リゾートは、システムのメリットが受けているようですね。いくつかのシェアをするため、低コストで高いレベルのものを利用することができるこのシステムは、年間を通じて使用頻度があまり多くないリゾートの建物には最適ではないでしょうか。
友人は、頻繁に韓国のお買い物やコンサートに行きます。好きなアーティストがいるため、海外旅行も全く苦にならないようです。海外旅行に行くのも、紛失や問題があると思いますが、海外旅行保険に必ず加入しているので、安心して行くようです。インターネットでも簡単に海外旅行保険に加入しそう金額的にもそれ程高くないそうです。海外旅行の達人だと改めて思いました。
　いつでもどこでも自由なワークスタイルを実現する「モバイルオフィス」。ただビジネス業務を行うなら、普段のオフィス内より強く“セキュリティ”を意識すべきだ。今回はモバイルオフィスにおけるセキュリティを意識したPCの仕様や周辺機器の選び方、具体的な実践方法を紹介する。

【在宅業務することになったら… ：PCフリーライターが普段実践する、モバイルオフィス環境「セキュリティ」編】

●意外に軽くとらえていませんか？「モバイルシーンのセキュリティ」

　昨今、PC／IT機器のセキュリティの重要性が叫ばれているのはご存じだろう。アンチウイルスやファイアウォール、スパムやマルウェア対策としてセキュリティソフトウェアを導入しつつ、OSのセキュリティアップデートも確実に適用するのは当然。さらにモバイルオフィス環境で業務するとなると、こうした対策だけでなくデータ漏えいの防止というまた別の視点からの対策も必要となってくる。

　例えば、業務データの中に社外秘とされるものや個人情報が含まれる場合、万が一それが流出すると個人はもちろん企業レベルでの信用問題にも発展する。それは、納期が間に合わないなどよりはるかに重大な問題だ。モバイルオフィス環境は「ノートPCがあればすぐできる」が、それだけに意外と軽くとらえてしまいがちだ。今回は「モバイルシーンのセキュリティ」をテーマに、改めて「それを意識したPC機器の選び方、使い方」を復習しよう。

　モバイルオフィス環境でのデータ漏えいに対し、どのような対策がとれるか。まずデータ漏えいは盗難や紛失から起こることが多い。まずはそれが起きてもデータを漏えいさせない対策を考える。ビジネスコンシューマーができるのは、なにより暗号化やパスワード保護が有効だ。

　暗号化やパスワード保護とは何か。まずはPC機器を選ぶポイントを復習しよう。全体的に見てセキュリティ意識の高いユーザーは、法人・ビジネス向けの機器を使うという結論になるが、ひと昔前はかなり高額だった法人向け機器も、SOHO（Small Office／Home Office）という業務スタイルが生まれて以降、それに合わせた手頃な製品も登場している。

　まずは「PC自体のセキュリティ機能を忘れていないか」という点を考える。

　すでにノートPCにおけるセキュリティ機能は、個人向け／法人向けともにニーズが高まっている。そのため、個人向けであってもハードウェアレベルのセキュリティ機能を備えているものは多い。セキュリティ性の高さをうたうモデルではカタログなどに「TPM」といった文字列が記載されているのを見たことがあるだろう。

　TPM（Trusted Platform Module）セキュリティチップはハードウェアとして搭載する暗号化のためのチップで、この専用チップを介してストレージなどのデータを暗号化するもの。セキュリティを意識したPCの購入を検討する際に目安としてほしい機能の1つだ。

　このほか、TPMとともにそのPCのチップセットについても確認してみてほしい。インテルのチップセットで例えると、個人向け製品ではIntel HM67 Expressのように“H”が付く一方で、ビジネス向け製品ではIntel QM67 Expressというように“Q”の文字列が付いている。もっとも昨今は個人向けでも一定以上のセキュリティが求められるため、最低限の機能はIntel HM67にも搭載されている。例えばIntel Anti-Theft Technology（Intel AT／リモートでノートPCの稼働状況を監視し、盗難・紛失時にPC機能を無効化・データを消去する技術）などはIntel HM67でも利用できるセキュリティ機能の1つだ。一方、Intel QM67はIntel HM67の機能はもちろん。ビジネスに求められるよりより高度なセキュリティ機能──例えばIntel vPro Technology（Intel vPro）、Intel Active Management Technology（Intel AMT）なども利用できる。

　Intel vProは、当初企業内におけるTCO（Total Cost of Ownership）削減のためのハードウェアツール類とされていたが、現在は「第2世代 Core vProプロセッサ」のように、そうしたビジネス向けセキュリティ機能を利用できるインテル製品のブランドネームとして展開する。Intel AMTはそのvPro群の機能の1つで、CPUとは別のプロセッサによりネットワークを通じてほかのPCを制御したり、あるいはPCに障害が生じた時にネットワークを通じて管理者に通知するといったことを可能とするものだ。

　Intel AMTのネットワークを通じた高度な運用・管理は企業内で別途セキュリティ系ソフトウェアベンダーより提供される専用ソフトウェアによって実現するのが一般的で、単体のビジネスコンシューマーでは実現は難しいのだが、一部環境において一部の機能はインテルが無償公開するソフトウェアを通じて利用できる（Intel System Defense Utility、Manageability Commander Toolなど）。これらでもIntel AMT対応PCの電源をネットワークを通じて遠隔操作できるようになり、仮にPCが盗難にあってもそれがオンラインになった時点でIntel AMTを通じて電源を制御してしまうといったことが個人レベルでも可能となる。

　さて、個人向け製品も相応にセキュリティ意識は高まっているが、ビジネス向け製品の方がこの点については最新の技術を先行導入していることが多い。数年前なら企業でしか利用されていなかったNAS（ネットワーク接続型HDD）が家庭向けとしてもかなり普及してきたように、ビジネス向け機器や機能が個人向けにも降りてくるというのが1つの流れだ。Intel AMTのような技術も、近い将来は個人向けPCでも一般的な機能になるということは十分考えられるだろう。

●セキュリティ機能で選ぶ「Windows 7」のエディション

　さて、暗号化などを主としたビジネス向けPCとなると、ソフトウェア面でもいくつかポイントがある。もっとも大きいのはOSであるWindows 7だろう。Windows 7の主要エディションである、Starter、Home Premium、Professional、Ultimete、Enterpriseのうち、今回注目したい暗号化機能「BitLocker」はUltimeteとEnterprise、上位の2エディションでのみ利用できる。

　BitLockerは暗号化をOS上で行うため、専用ハードウェアを用いた暗号化手段と比べて若干柔軟に利用できるのがポイントだ。例えばWindows 7のBitLockerでは、OS領域はそのままブートできる状態に保ちつつ、別のデータ領域やUSBメモリや外付けHDDなどに暗号化をかけるといった設定も可能。また、上記で紹介したTPMを搭載したPCで適用する場合はこちらを積極的に利用しつつ、TPMを搭載しないPCではUSBメモリを暗号鍵として利用するといった混在環境での利用も考慮されている。つまり、BitLockerはTPMチップを搭載しないPCでも「セキュリティを向上させたい」という場合に有効な手段である。Windows 7 Ultimeteをプリインストールする個人向けモデルはほとんどなく、BTOでカスタマイズオーダーするシーンでは他エディション選択時よりやや高額になるものの、モバイルオフィス環境で使うPCを購入するのであればBitLocker機能が使えるUltimeteを選択するのを勧めたい。

　さて、TPMによる暗号化もBitLockerによる暗号化も、それを解除するのがパスワードだ。このパスワードのセキュリティも考察しよう。パスワードは、一般的に十分な長さを持ち、特定の意味を持たない文字の羅列であることが重要とされる。しかしこれを覚えるのは難しい。有効なのは、パスワードを個人を識別できるほかの手法に置き換えることと考える。

　つまり指紋認証センサーやスマートカード、Webカメラ（を用いた顔認証機能）などを活用する。PCメーカーによって実装方法や搭載ソフトウェアは異なるが、基本はログオンパスワードと指紋や顔などのスキャンデータを結びつける仕組みだ。キーボード入力を伴わないことは、盗み見によるパスワード盗難にも対応できる。製品の多くはWindows ログオンパスワード以外に、特定のWebサイトで必要なID／パスワードなども生体認証できるようになっている。

●暗号化・パスワード保護に対応したストレージ機器にも注目してみる

　前述したBitLockerで、USBメモリやポータブルHDDなどのPC周辺機器内のデータを暗号化できるが、第3者にデータの受け渡すシーンがあると想定すると別の方法を用いた製品の導入も考察する必要がある。例えば、暗号化やパスワード保護機能を単体で搭載するストレージ機器などがある。

　USBメモリは小さく軽く、携帯に適する便利なストレージ機器だが、その分紛失や盗難のリスクが高めだ。そこでビジネス向け製品にはセキュリティUSBメモリなどという名称で、いくつかのPC周辺機器メーカーより販売されている。ポイントはハードウェア暗号化機能で、製品によってはアンチウイルス機能やコピー制御機能なども備えたものも存在する。数百円から買えるものもある一般製品よりやや高価な傾向だが、重要なデータの保存用にするなら1つ入手しておきたく、企業購買部門の方にも社員に持たせるならということで導入を考察してみてほしい。

　一方、数百Gバイト単位のデータを管理するなら、USBメモリよりポータブルHDDの方がいろいろ応用が利く。もちろんHDD製品も暗号化やパスワード保護機能を備えた製品がいろいろ存在する。多くはパスワード入力をOS上、あるいはソフトウェアから行うものが主流だが、本体にボタンを設け、そこからパスワードを解除できる製品もある。

　このような本体にセキュリティ機能を統合する機器のメリットは、複数台のPCで利用する際の使い勝手が高められる点だ。ソフトウェアタイプは、利用するPCごとにパスワード解除のためのソフトウェアを導入する必要がある一方で、こちらは本体での操作だけで完結できるため、フォーマット形式さえサポートされていればOSを選ばない。Windowsだけでなく、MacやLinuxなどが混在する業務シーンではこうした点が重宝されるだろう。

●ネットワーク機器におけるコンシューマ向け製品とビジネス向け製品

　ネットワーク機器においても、個人向け製品とビジネス向け製品では搭載機能が異なる点がある。ネットワーク機器は以前より個人向け製品とビジネス向け製品の差がはっきりしている傾向だが、近年のセキュリティ意識の高まりとともに、機能を絞り込みつつもセキュアなSOHO向け製品なども登場している。

　一例としてVPN（Virtual Private Network／仮想プライベートネットワーク）におけるPPTP（Point-to-Point Tunneling Protocol）接続とIPsec接続を考察してみよう。異なるネットワークどうしをインターネットを通じて仮想的に接続するVPNは、企業における拠点間の接続などで利用されるネットワーク手段だ。このVPNでの通信に利用される暗号化プロトコルにPPTPとIPsecなどがある。PPTPはパケットのうちヘッダ以外が暗号化される仕組みに対し、IPsecはヘッダを含む全てが暗号化される。ではこのPPTPとIPsecの違いが問題となるケースとは、例えば企業におけるネットワークポリシーに抵触する場合だろう。

　基本的に社外ネットワークから社内ネットワークにアクセスする場合、なんらかのセキュアな方法を会社側がポリシールールとして定義付けていると思うので、それを順守するのが求められる。会社がIPsec接続を指定しているなら、IPsecに合わせる必要が出てくる。そうした視点でブロードバンドルータの仕様を見ると、個人向けの製品でもVPNに対応している製品はある。ただ、暗号化プロトコルはPPTPパススルーのみサポートといった制限があったりする。ビジネス向け製品まで範囲を広げると、PPTP／IPsec双方への対応をうたう製品がかなり充実してくる。モバイルオフィス環境かつ自宅業務を実践するなら、個人向け製品とはここに大きな違いであることを知っておくとよさそうだ。

　加えて、VLAN（Virtual Local Area Network）なども自宅業務を行うなら利用を検討したい。VLANは接続機器ごとにネットワークをグループ分け／切り分けできる機能で、自宅のほかのPCと業務用PCとを完全に分けて、アクセス径路を制御できる。仮に自宅のPCがウイルスに感染したとしても、その影響は業務用PCまで及ばずに済む。個人向け機器では、無線LANルータのマルチSSID機能により接続する機器に応じて無線LAN環境を切り分ける手段もあるが、こちらの有線ネットワークごと分離する強力版と想定してもらえばよいだろう。

　VLANはポートベースやタグベースなどいくつかの手法があるが、比較的低価格な製品で採用されるのはポートベースのもが多い。こうしたVLAN機能が利用できるのは、ルータ機器のほかインテリジェントスイッチあるいはスマートスイッチと呼ばれるスイッチングハブでも選択肢がいくつか存在する。

●便利なオンラインサービスを利用する上でも、ひと工夫

　ところで、2011年6月にオンラインストレージサービスのDropboxで、アップロードしたデータが一時的に第三者から丸見えになってしまう状態になっていた事故・障害が発生した。このような障害が発生し、データをそのままアップロードしていたとすると、その内容は簡単に漏えいしてしまうことになる。そのネットワークービスがどの程度信頼できるかの検討も必要だが、ローカル保存時と同様に便利なオンラインストレージに対しても一定以上のセキュリティ意識を持っておくことが重要と再認識させられた。

　その第一段階は、パスワードの設定だと思う。こちらは色々な手段があるが、自分以外に業務でデータを渡す相手のことも考慮し、汎用的なものとしては「ZIPファイルにパスワードかける」のが手軽だろう。こちらはファイル圧縮／アーカイブ化と同時に解凍パスワードの保護をかけるもので、どのPCユーザーもたいていはインストールしているであろう圧縮／解凍ソフトで、解凍だけであればWindows 7の標準機能でも対応する。

　もっとも、昨今はZIPファイルのパスワードを解析するツールなどが出回っているので、この程度で万全になるはずはないが、玄関や窓のカギと同じように対策を2重3重に施すなど、たとえ小手先の技であっても無関心で何もしないよりは、“何らかを意識”することでセキュリティ性は高められるのだ。

●在宅勤務には「普段からリスクを把握し対策を講じる姿勢」が必要

　さて、ここまで「モバイルオフィス環境」を実践するための考察をポイント別に紹介してきた。

　これを機に、これからモバイルオフィス環境で仕事しようとする方に意識してほしいのは、過去にも何度かくどく述べたが「とはいえリスクはある。それを解消、低減するにはどうするか」を心得て「〜だから安心だ」ではなく「〜でも不安だ」と感じる慎重さを持つのが重要と思われる。

　こうした備えをしていった結果、筆者のモバイルオフィス環境は約10年の間に、電源やネットワーク、データなど、それぞれの項目に対し2重3重の対策をとるよう進化していった。快適で自由なワークスタイルを実現しつつ、ダウンタイム・ゼロを目指す──目的は変わらない。もちろんここで紹介した以上に、ちまたには製品もサービスはあふれている。さまざまな製品やサービスを試しながら、自分の「モバイルオフィススタイル」を見つけ、実践してほしい。

【石川ひさよし，ITmedia】


【関連記事】
もし、在宅業務することになったらどうするか：PCフリーライターが普段実践する、モバイルオフィス環境──「準備と心得、教訓」編
次世代PCデータ通信特集次世代PCデータ通信特集
vProの1500日
「消えた・壊れた　うそだろ……」が起こる前に：ワイヤレス運用も可能な自動バックアップ機能付きHDD、「Clickfree」の実力検証