Thin Clientパソコンの紛失と普通のノートパソコンの紛失の違い
こんにちは、丸山満彦です。ちょっと前から気になっていて書こうと思っていた事・・・。
個人情報保護法の適用の影響もあり、Thin Clientパソコンが注目されていますね。ハードディスクがないので、個人情報が漏えいしない・・・といったのが売り文句?・・・。いや、ちょっと待て・・・
【状況1】
アクセス制御が行われていないThin Clientノートパソコンを紛失しました。Thin Clientパソコンを持っている人は誰でも本社側のサーバの個人情報にアクセスできます。本社側のサーバでは、アクセスログをとっていません。
【状況2】
ノートPCを紛失しました。そのノートPCのハードディスクにはロックがかかっています。また、OSにログインするときには指紋認証が要求されます。また個人情報は暗号化されていて、特殊なソフトを利用しなければ個人情報にアクセスできません。
ノートPCを紛失してニュースになっていますが、何が問題かを良く考えるべきでしょうね。
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
保護するべき個人情報という概念がないところに持ってきて、流出つまり情報の管理下から外れることの定義が無いわけですな。
実務的には管理の仕組みを問題にするはずで、その中には「公衆の面前で語らない」とかも含まれてしまいますが・・・・・。
ここまで来るとのぞき見するのが悪いのか、のぞき見させたのが悪いのか、なんて議論につながってしまいます。
実害を中心に語るべきだようなあ。
酔うぞ拝
Posted by: 酔うぞ | 2005.06.20 11:39
酔うぞさん、コメントありがとうございます。
よく考えようということなんですけどね・・・。
Posted by: 丸山満彦 | 2005.06.20 14:08
こんにちは。Thin Client関係のブログを探していてたどり着きました。
丸山さんの問題提起ですが、私はどっちもダメだと思います。
仕事で社内情報システムの管理をしておりましたが(今は異動しました)、Thin ClientもノートPCのセキュリティ(HDDパスワードやソフトウェアによる暗号化など)は、所詮、保険でしかないと実感しています。
昨今のThin Client次々発表という記事には苦い気分がしております。丸山さんの危惧されるように、本当の意味のセキュリティを提案することなく、Thin Clientを(ディスクレスという響きの良さで)売りつけようとするベンダーの節操のなさには腹立たしさを感じますね。
まぁ、ThinClinetを入れるくらいの管理能力がある会社で、ログを管理していないとかいうことは、あり得ないでしょうし、ベンダにうかうか乗せられることもないとは思うのですけど。
ノートPC対策については、うちの会社では4年前から実施していますが、これもやはり不安で仕方がありません。
ユーザが複数のパスワードを使いわけるのを面倒くさがり、スリープで対応しているのを知っているからです。意味がないですね。
結局は、どこまでいっても、ユーザの意識改革というところが重要なわけですね。Thin Clientの導入や、資産管理ツールの導入などを大々的にイベントとして実施し、それを「セキュリティが厳しくなっている」という社内教育として使うのがよいのではと思います。
というわけで、なくすというのがそもそもダメ。
ハードウェアに頼るのではなく、やはり、あらゆる面で事故を防ぐということが大事だと思います。
Posted by: studyhall | 2005.06.26 00:53
studyhallさん、コメントありがとうございます。100%の安全なセキュリティ対策はないですね。確かにHDDのロック機能をつけていてもスリープ機能を利用していればそれは使われないわけで、OSへのログインができればとりあえず情報が読める状態になりますね。
生体認証も成りすまされる可能性が「0」というわけでもないし・・・。
Studyhallさんんのコメントで「ユーザの意識改革というところが重要なわけですね。Thin Clientの導入や、資産管理ツールの導入などを大々的にイベントとして実施し、それを「セキュリティが厳しくなっている」という社内教育として使うのがよいのではと思います。」
というのは、実は大賛成です。このようなイベント性、儀式性をもたせてユーザーの意識をかえていくことが重要で、あわせて技術的なセキュリティ対策をきっちりしていく事なのでしょうね。
これからもよろしくお願いします。
Posted by: 丸山満彦 | 2005.06.26 13:16