袖ケ浦市役所様

千葉県袖ケ浦市では、5年ぶりの庁内LAN設備更新の際に、情報漏洩対策システムを強化することを決めた。そのシステムの概要と、そこにおけるUSBメモリアクセス制限の位置づけについて、情報推進課 近藤英明氏に詳しく聞いた。

袖ケ浦市ではDeviceLockをどう使っているか ~ 出先機関を含むPC700台のアクセス制御

―― 袖ケ浦市では、現在DeviceLockをどのようにお使いですか。

DeviceLockにより、市役所のPC 約700台における、USBメモリの使用可/不可を制御しています。PC 700台の中には、消防署、公民館、保育所など出先機関も含まれます。

DeviceLockは、2006年10月に庁内LANの設備を更新したことが、導入の契機となりました。この際に、単に設備(ハードウエア)を入れ替えるだけでなく、情報漏洩対策の強化をも行うことに決めました。その際に焦点となったのは、USBメモリの扱いでした。

―― なぜUSBメモリが焦点となったのですか。

情報漏洩対策を行うに当たり、どこから情報が漏れ出しうるのかを、まず考えました。もしネットワークが完全に閉じているのであれば、理論上、情報が漏れ出ることはないので対策も必要ありません。しかし、実際には外部との物理的接点があります。USBメモリです。

庁内LANを構築したのは2001年でした。当時はUSBメモリはまだ普及していなかったので、それをどう扱うかについても、明確な基準はありませんでした。
しかし、その後、USBメモリの活用が世に普及し、袖ケ浦市役所での使用も一般化してきました。取り扱い基準を明確に定義する必要が生じました。

袖ケ浦市では、USBメモリの扱い基準をどう定めたか

―― USBメモリの扱い基準は、どのように設定したのですか。

最初は、「きまり、規定による対処」、「BIOSレベルでのUSB全面禁止」などの方策も検討しました。しかし、以下の理由により、それらの方策は却下しました。

―― 「USBは使ってはいけない」と決まりを作るやり方を却下した理由

そのきまりが本当に守られているかどうか分からない。仮に誰かが故意に(あるいは不注意で)決まりを破り、そのせいで情報漏洩事故が発生したとしたら、その場合「対策をとっていなかったのか」と袖ケ浦市が世の中から指弾されかねない。したがってこの方法は却下。

―― 「BIOSレベルでのUSB全面禁止」というやり方を却下した理由

1): 現場職員の反発が予測される。2):職員によっては、業務によっては、やむをえずUSBアクセスが必要なこともある、などの事情がある。そもそもパソコンのログイン指紋認証の機器が、パソコンにUSB接続されている。USBポートを閉じるわけにはいかない。この方法も却下。

結局、「USBスロットは、市から支給したUSBメモリの接続のみが可能」という仕組みにしました。

「USBスロットは、情報システム部門が支給したUSBメモリの接続のみ可能」という仕組みの詳細

―― 「USBは、市から支給したUSBメモリに限り、使用可能」とは具体的には、どのような仕組みですか。

以下の通りです。

  • 新たに購入するパソコンにはFDドライブはつけない仕様にする。
  • USBポートは二つのスロットを用意し、一つは、ログイン指紋認証用の機器をつなぐためのものとし、一つは、USBメモリのためのものとする。
  • そのスロットでは、市役所が一括購入し、各人に配布する「公式USBメモリ※」だけが使用可能なようにする。外部から持ち込まれたUSB、職員が自宅から持ってきた個人用USBなどは使えないようにする。
  • なお、FDドライブやMOドライブなど外付けメディアについては、原則として使用禁止(接続しても使えない)。ただし業務上やむをえない場合のみ、情報システム部門に、申請すれば、使用可能とする。
    つまり、基本は「正規USB以外は全面禁止」としてブラックアウトし、「業務上やむをえない場合のみ、例外的に許可する」というホワイトリストをつけて運用する方式。
  • ファイルコピーその他の挙動については、ログを取って、有事の際の調査に備える。
  • ファイルへのアクセス制限については、アクティブディレクトリの仕組みで実現する。

この仕組みを実装するには、以下の機器、ソフトウエアが必要になります。

  • (市から支給する)USBメモリ
  • ログ取得ソフトウエア
  • 各PCのUSBスロットへのアクセスを制限、管理するためのソフトウエア

現在、3番のUSBアクセス制限システムの役目を担っているのが、今回、採用したDeviceLockです。

DeviceLockを採用した理由

―― DeviceLockを採用した理由は何ですか。

我々が、USBアクセス制限システムに求めた要件を、結果として、DeviceLockが最もよく満たしていたからです。

―― USBアクセス制限システムに、どのような要件を求めたのですか。

以下の通りです。

そのUSBアクセス制限システムは、正規USBメモリと、非正規USBメモリを「個々に見分けられなければ」ならない。
「USBメモリはすべてOK/禁止」のような大ざっぱな区分けではいけない。
そのUSBアクセス制限システムは、「許可されたUSBスロットで使えるのは、『正規USBメモリ』だけ」という制御ができねばならない。
「Dドライブや小型ハードディスクなど、USB以外のデバイスが接続できてはならない。
そのUSBアクセス制限システムは、配下のPC数百台を、管理者コンソールから「遠隔・集中管理」できなければならない。
出先機関のPCの設定を、わざわざ出かけて行うのは合理的な運用ではない。
そのUSBアクセス制限システムは、「きめ細かな例外処理」も行えなければならない。
業務上やむをえない場合のみ、MOドライブやFDドライブのUSB接続を、「例外的に」許可することがある。そのような「例外措置」が行える仕様でなければならない。

これらの基準を、最も良く満たしていた製品が、DeviceLockでした。

今後のDeviceLockへの期待

―― PC700台へのDeviceLockのインストールはどうやって行いましたか。

ネットワーク管理ソフトを使ってプッシュ・インストールしました。

―― DeviceLockの現在の使用感はいかがですか。

今まで述べた「要件、予定仕様」は、ほぼもれなく実現できています。中央コンソールからの集中管理も問題なく動いています。他のソフトウエアとのぶつかり、不具合なども報告されていません。期待通りの動作です。

―― DeviceLockへの今後の期待をお聞かせください。

DeviceLockには、不断の進化を続けてほしいと思います。 USBメモリは、三年前は普及していませんでしたが、今ではデファクトスタンダードのデバイスです。同様に、これから三年後には、別の新しいデバイスがメジャーになっているかもしれません。そうした流れに、確実にキャッチアップして欲しいと思います。期待しています。

概要

千葉県袖ケ浦市
http://www.city.sodegaura.lg.jp/