千葉県袖ケ浦市では、5年ぶりの庁内LAN設備更新の際に、情報漏洩対策システムを強化することを決めた。そのシステムの概要と、そこにおけるUSBメモリアクセス制限の位置づけについて、情報推進課 近藤英明氏に詳しく聞いた。
袖ケ浦市ではDeviceLockをどう使っているか ~ 出先機関を含むPC700台のアクセス制御
―― 袖ケ浦市では、現在DeviceLockをどのようにお使いですか。
DeviceLockにより、市役所のPC 約700台における、USBメモリの使用可/不可を制御しています。PC 700台の中には、消防署、公民館、保育所など出先機関も含まれます。
DeviceLockは、2006年10月に庁内LANの設備を更新したことが、導入の契機となりました。この際に、単に設備(ハードウエア)を入れ替えるだけでなく、情報漏洩対策の強化をも行うことに決めました。その際に焦点となったのは、USBメモリの扱いでした。
―― なぜUSBメモリが焦点となったのですか。
情報漏洩対策を行うに当たり、どこから情報が漏れ出しうるのかを、まず考えました。もしネットワークが完全に閉じているのであれば、理論上、情報が漏れ出ることはないので対策も必要ありません。しかし、実際には外部との物理的接点があります。USBメモリです。
庁内LANを構築したのは2001年でした。当時はUSBメモリはまだ普及していなかったので、それをどう扱うかについても、明確な基準はありませんでした。
しかし、その後、USBメモリの活用が世に普及し、袖ケ浦市役所での使用も一般化してきました。取り扱い基準を明確に定義する必要が生じました。
袖ケ浦市では、USBメモリの扱い基準をどう定めたか
―― USBメモリの扱い基準は、どのように設定したのですか。
最初は、「きまり、規定による対処」、「BIOSレベルでのUSB全面禁止」などの方策も検討しました。しかし、以下の理由により、それらの方策は却下しました。
―― 「USBは使ってはいけない」と決まりを作るやり方を却下した理由
そのきまりが本当に守られているかどうか分からない。仮に誰かが故意に(あるいは不注意で)決まりを破り、そのせいで情報漏洩事故が発生したとしたら、その場合「対策をとっていなかったのか」と袖ケ浦市が世の中から指弾されかねない。したがってこの方法は却下。
―― 「BIOSレベルでのUSB全面禁止」というやり方を却下した理由
1): 現場職員の反発が予測される。2):職員によっては、業務によっては、やむをえずUSBアクセスが必要なこともある、などの事情がある。そもそもパソコンのログイン指紋認証の機器が、パソコンにUSB接続されている。USBポートを閉じるわけにはいかない。この方法も却下。
結局、「USBスロットは、市から支給したUSBメモリの接続のみが可能」という仕組みにしました。
「USBスロットは、情報システム部門が支給したUSBメモリの接続のみ可能」という仕組みの詳細
―― 「USBは、市から支給したUSBメモリに限り、使用可能」とは具体的には、どのような仕組みですか。
以下の通りです。
- 新たに購入するパソコンにはFDドライブはつけない仕様にする。
- USBポートは二つのスロットを用意し、一つは、ログイン指紋認証用の機器をつなぐためのものとし、一つは、USBメモリのためのものとする。
- そのスロットでは、市役所が一括購入し、各人に配布する「公式USBメモリ※」だけが使用可能なようにする。外部から持ち込まれたUSB、職員が自宅から持ってきた個人用USBなどは使えないようにする。
- なお、FDドライブやMOドライブなど外付けメディアについては、原則として使用禁止(接続しても使えない)。ただし業務上やむをえない場合のみ、情報システム部門に、申請すれば、使用可能とする。
つまり、基本は「正規USB以外は全面禁止」としてブラックアウトし、「業務上やむをえない場合のみ、例外的に許可する」というホワイトリストをつけて運用する方式。 - ファイルコピーその他の挙動については、ログを取って、有事の際の調査に備える。
- ファイルへのアクセス制限については、アクティブディレクトリの仕組みで実現する。
この仕組みを実装するには、以下の機器、ソフトウエアが必要になります。
- (市から支給する)USBメモリ
- ログ取得ソフトウエア
- 各PCのUSBスロットへのアクセスを制限、管理するためのソフトウエア
現在、3番のUSBアクセス制限システムの役目を担っているのが、今回、採用したDeviceLockです。
DeviceLockを採用した理由
―― DeviceLockを採用した理由は何ですか。
我々が、USBアクセス制限システムに求めた要件を、結果として、DeviceLockが最もよく満たしていたからです。
―― USBアクセス制限システムに、どのような要件を求めたのですか。
以下の通りです。
そのUSBアクセス制限システムは、正規USBメモリと、非正規USBメモリを「個々に見分けられなければ」ならない。
「USBメモリはすべてOK/禁止」のような大ざっぱな区分けではいけない。
そのUSBアクセス制限システムは、「許可されたUSBスロットで使えるのは、『正規USBメモリ』だけ」という制御ができねばならない。
「Dドライブや小型ハードディスクなど、USB以外のデバイスが接続できてはならない。
そのUSBアクセス制限システムは、配下のPC数百台を、管理者コンソールから「遠隔・集中管理」できなければならない。
出先機関のPCの設定を、わざわざ出かけて行うのは合理的な運用ではない。
そのUSBアクセス制限システムは、「きめ細かな例外処理」も行えなければならない。
業務上やむをえない場合のみ、MOドライブやFDドライブのUSB接続を、「例外的に」許可することがある。そのような「例外措置」が行える仕様でなければならない。
これらの基準を、最も良く満たしていた製品が、DeviceLockでした。
今後のDeviceLockへの期待
―― PC700台へのDeviceLockのインストールはどうやって行いましたか。
ネットワーク管理ソフトを使ってプッシュ・インストールしました。
―― DeviceLockの現在の使用感はいかがですか。
今まで述べた「要件、予定仕様」は、ほぼもれなく実現できています。中央コンソールからの集中管理も問題なく動いています。他のソフトウエアとのぶつかり、不具合なども報告されていません。期待通りの動作です。
―― DeviceLockへの今後の期待をお聞かせください。
DeviceLockには、不断の進化を続けてほしいと思います。 USBメモリは、三年前は普及していませんでしたが、今ではデファクトスタンダードのデバイスです。同様に、これから三年後には、別の新しいデバイスがメジャーになっているかもしれません。そうした流れに、確実にキャッチアップして欲しいと思います。期待しています。
概要
千葉県袖ケ浦市
http://www.city.sodegaura.lg.jp/