 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
リモートアクセスのあり方とは~個人情報保護との“微妙な関係” |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
「Interop Tokyo 2005」で8日、「リモートアクセスを禁止せよ!? 個人情報保護とリモートアクセスの微妙な関係」と題したコンファレンスが開催された。電通国際情報サービスの熊谷誠治氏、アクタスソフトウェアの坂下秀氏、サン・マイクロシステムズの樋口貴章氏、富士ゼロックスの吉田武央氏がリモートアクセスのあり方について議論を交わした。 ● 個人情報保護は業務が円滑に進む範囲で
「リモートアクセスうんぬんの前に、家のPCで仕事するなという状況になっている。見積書や会議の議事録がFAXで送信されてくる例もあり、個人情報保護法施行後は、PC以前の問題に戻ってしまったようだ。FAXを送信してきた相手に『メールを暗号化した方が安全性は高いのでは?』と問うと、『暗号化は難しいから』と技術に疎い回答をいただいたこともある。『個人情報を保管する高セキュリティルームには、外部メディアの持ち込みがわかるように体の線がハッキリするタイツや水着姿で入ったらどうか』と真剣に議論する企業もあるらしい。」 熊谷氏は、情報漏洩防止などを目的にPCを段階的に廃止してシンクライアントを導入するという日立製作所と、反対にインターネット経由のリモートアクセスを利用して在宅勤務環境を整える日本テレコムの対照的な例を挙げ、「個人情報の保護にあまりに過剰になると業務が滞る場合がある。業務が円滑に進む範囲で制限をかけるべきだ」とコメントした。 富士ゼロックスの吉田氏は、トレーサビリティを確保することが重要だと語る。「機密情報はレベルマネージメント。情報漏洩があった場合は、誰がどのような経路で、どのような目的で、いつどのようにアクセスしたかを即座に把握しなければならない」。インターネット回線では、ファイアウォールなどのセキュリティ対策が施されている場合が多いが、専用線やISPが提供する閉鎖網の場合、「専用線というだけではトレーサビリティが確保できない」という。 「専用線は盗聴に対して安全であるかのように思われているが、それは錯覚だ。通常、専用線の両端にはファイアウォールなどのゲートウェイは設置されず、盗聴された際の証拠を残すことが難しい。そのため専用線の業者などを含む内側のスタッフが盗聴した場合、トレーサビリティを確保できない。専用線であってもセキュリティのレイヤーを実装するべきだ。」 ● 開発者の視点ではシンクライアントを推奨 SSHベースのVPNソフトウェアパッケージを開発・販売するアクタスソフトウェアの坂下氏は、「リモートアクセスの手法はたくさんあるが、開発者の視点から言えば、シンクライアントもしくはディスクレスの環境でサーバー側にデータやアプリケーションを持たせるのがよいのではないか」という。リモートアクセス技術として、IPSecやPPTP、SoftEtherなどのカーネルに実装するタイプと、SSHやSSL VPNといったユーザープロセスに実装するポートフォワーディングタイプを比較。「IPSecやPPTPなどは実装するとリモートからでもあたかもローカルでネットワークに参加しているように見え、自由度は高い。しかし、一度ウイルスに感染すれば社内のネットワークに被害が及ぶ。また、IPアドレスの重複やルーティング情報の混乱など管理者の負荷も高い。一方、ポートフォワーディングタイプは特定のポートをフックしてそれだけを許可するので、自由度が低い。また、SSL VPNはRFCがあるわけではなく、特定のアプライアンスに依存してしまい、ユーザーにとっては不便な場合もある」と解説した。 坂下氏はまた、「ユーザーはさらなる制限を望んでいる」と指摘し、「アプリケーションごとにASPを利用すればいい」と提案する。グループウェアや各種業務システムをASP化し、各従業員の机にはキーボードを差し込むためのUSBポートと映像出力用のポートを備えた端末だけを用意する。「端末には何も持たせない、知らせない」ことで情報漏洩を防ぐわけだ。
● サンの“ウルトラシンクライアント”
クライアント・サーバーアーキテクチャでは、データベースなどのバックエンドをサーバーで、アプリケーションなどのフロントエンドやGUIの部分をクライアントで動かしていた。X端末などの従来型シンクライアントでは、バックエンドやフロントエンドはサーバー側で動かすが、GUIはクライアント側で動かす必要があった。これに対してSun RayのHotDeskアーキテクチャはGUIすらもサーバー側に置き、キー入力などのインターフェイス部分だけクライアントに持たせた“ウルトラシンクライアント”だという。 サンでは、社内ネットワーク上でSun Rayを導入。どこの席でも自分のデスクトップ環境にログインできるため、自席を自由に設定するフリーオフィス環境が世界規模で実現している。例えば、「これから米国に出張だとしても、前日に米国本社の席さえ予約しておけば、そこのSun Rayで日本と同様の環境にアクセスできる」。 また、同じ事務所であれば異なるフロアであっても、別の端末でログインした場合にはすでにログインした端末からのセッションを移行してくれる仕組みになってる。「これから会議でプレゼンという場合は、自席の端末で資料を用意しておけば、会議室でログインしてすぐにでもプレゼンテーションできる」という。 サンでは、Sun Rayを家庭でも利用してもらうよう、従業員に対して「Sun Ray@HOME」として2003年10月から段階的にSun Rayを支給している。日本の用賀オフィスでも2004年10月から開始しており、樋口氏も利用者の1人だ。 樋口氏によると、Sun Ray@HOMEではサンからSun Ray本体とキーボード、マウス、IT部門で設定済みのVPNルータが支給される。従業員側ではADSLやFTTHといったブロードバンド環境とPC用ディスプレイが必要となっている。なお、今回のコンファレンスで樋口氏はSun Rayを会場に持ち込み、Sun Rayの環境でプレゼンテーションを行なった。会場でのスループットは約500kbps程度だったというが、プレゼンそのものには支障はなかった。 「Sun Rayがあれば別のPCにファイルを移したりする必要がなくなる。家庭からログインしてプリントアウトすると会社で出力されてしまうなどの不具合もあるが、概ね満足している。Sun Ray@HOMEの次は、Sun Ray Anywhereだ。自販機や公衆電話のようにSun Rayが設置されれば、非常に便利になるだろう。」 樋口氏は最後に「実は、本当に重要な情報はサンでも紙媒体で回っている。コピー防止用にシリアル番号付きでね」と会場を笑わせた。
関連情報 ■URL Interop Tokyo 2005 http://www.interop.jp/
( 鷹木 創 )
- ページの先頭へ-
|
