シンクライアントとセキュリティ(2)
個人情報保護法が完全施行され、個人情報の漏洩問題が多発するなかで、再び脚光を浴びるようになったシンクライアント。
特集
特集
シンクライアントの導入で全てのセキュリティ問題が解決するものではないが、大きく前進することも間違いない。
本文では、シンクライアントを中心に、セキュリティ、特に、個人情報保護対応について考察する。
●シンクライアントと個人情報保護
シンクライアントの導入で解決できる個人情報保護上の問題点は何かを考察してみよう。
シンクライアントのクライアント側にデータが残らないという特徴から、PCの盗難による個人情報紛失、持ち出し用PCの置き忘れによる個人情報紛失という、OECD8原則(5)安全保護の原則の紛失問題の一部が容易に解決できることが判る。
しかし、悲しいかなシンクライアントの導入だけではこれ以上の事は望めない。
●シンクライアントとセキュリティ
シンクライアントを導入したと仮定して必要なセキュリティ対策を考える。
当たり前の話だが、クライアント側にデータは残らないが、サーバ側にはデータは存在する。サーバ上の個人情報が流出しないよう、サーバ側への対策が必要だ。また、シンクライアントを導入しても、CDなどのメディアへのコピーや、紙への印刷などの業務は必須であり、これらメディアの持ち出しなどによるデータ流出がないよう対策が必要である。
加えて、シンクライアントを導入した場合では、データが分散されていないため、事故によるデータ破壊などへの対策がより重要になる。
いずれの対策も、普通のサーバ・クライアント・システムにおいても採用されているものであるが、対策のポイントを以下に述べる。
サーバ側への対策では、外部からのハッキングなどの不正侵入対策やウイルス対策、社内と言い換えてよいと思われるが、内部では、サーバの盗難防止というより地震による転倒防止のための耐震対策、サーバへのアクセス権限の適正化があげられる。
メディアへの対策では、データのコピー時に暗号化を行う、更に進めて、サーバ上に暗号化してデータを保有する対策があげられる。しかし、印刷した紙に関しては、悪意ある持ち出しへの有効策は見当たらないが、最低限、廃棄処理には留意したい。裁断処理を施してから捨てるようにできれば最高であろうが、現実は困難だと思われるので、信頼できる廃棄業者に処分を委託するようにしたいものである。
データ破壊対策では、ファイルへのユーザ・アクセス権限の適正な設定や、ファイルサーバの2重化、データ・バックアップの多頻度化があげられる。
セキュリティ対策の重要性は個人情報保護に限らない。営業上の秘密など財産的価値のある情報の流出時に、不正競争防止法の適用を受けようとするならば、同様のセキュリティ対策が必要であり、まさに一石二鳥となる。
【執筆:NACS東日本支部テレコミュニケーション研究会】
※NACS = Nippon Association of Consumer Specialists
(正式名称:社団法人日本消費生活アドバイザー・コンサルタント協会)
http://www.nacs.or.jp/
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html
《ScanNetSecurity》