本音で企画の背景を語る「舞台裏」。今回は「DataLocker」についてです。
情報セキュリティが気になるなら、ぜひ観ていただきたい映画が、『イミテーション・ゲーム』である。
イギリスの天才数学者であり、コンピュータの父でもあるアラン・チューリングが、ドイツ軍のエニグマ暗号を破る話だ。彼が開発したのはBombeという暗号解読機である。世界で最初の、ブルートフォースアタックマシンだと言っていいだろう。
「イタチごっこ」にはならないDataLocker
Bombeは見事にエニグマ暗号をブルートフォースアタックで解読するのだが、大きな問題があった。解読に時間がかかりすぎた。その間にドイツ軍が暗号を変更してしまうから、「解読はできても役にたたなかった」のである(それをどう突破するかは、ネタバレになるので書くのを控える。映画を観てほしい)。
暗号解読の歴史は、結局、コンピューティングパワーとのイタチごっこの歴史である。「スーパーコンピュータを使っても100年かかる堅牢なパスワード」という表現がよく使われるが、これは速いコンピュータで総当たり攻撃(ブルートフォースアタック)を仕掛けても、破るのに100年くらいは平気でかかる複雑なパスワード、という意味だ。
そして最近は、超高速の量子コンピュータが実用化されつつあり、そうなると一般に私たちが使っているパスワードは一瞬で解読されてしまう、という話題が出ている。そうでなくても、GPU(Graphic Processing Unit)ボードを複数枚使ったGPUコンピューティングで、デスクトップPCでも超高速な計算ができるようになっている。
人の紹介でData Locker社のJay Kim社長を紹介され、現物を見たときに衝撃を受けた。このハードディスクは、タッチパネルからパスワードを入力しないと動かない。とても単純な仕組みだが、ものすごく有効だ。ブルートフォースアタックができないからである。
情報漏洩を防ぐコツ
DataLockerを紹介するタイミングで、日本でも個人情報保護法が改正された( 2017年5月30日から全面施行。以後、3年ごとに見直される予定)。個人情報が漏洩する事件が相次いだからである。
個人情報漏洩は企業の信用をいきなり落とす。いや、個人情報だけではない。組織内には、漏洩してほしくない情報は山のようにある。アメリカでは、映画会社が使っているという。撮影データをスタジオに送るのに使うそうだ。アメリカ軍も使っている。電子カルテを、これを使って本人にもたせる。この方式で、巨額のシステム開発費を節約できたという。
情報漏洩を防ぐには、コツがあると思っている。まずはDataLockerのような、適切なデバイスを選択し、適切に使い分けることだ。新型コロナウイルス対策で、急に自宅で仕事をすることになり、PCを持ち帰る、なんていうときが危ない。置き忘れたら、もうPCの中からハードディスクを取り出されてしまう。セキュアなクラウド環境が整備されていないなら、必要なものをDataLockerで持ち帰るのは、現実的で有効な選択である。
続いて、なるべく多要素認証を使うことである。ログインにGoogle認証アプリなどが発生するコードを併用したり、SMSでスマートフォンに送られてくるコードを使ったりするタイプだ。万全ではないが、飛躍的に安全性は高まる。
そしてこの多要素認証は、DataLockerにもある。RFIDタグ併用タイプだ。
これだと、RFIDタグ(上の写真左)をもつ人間で、かつパスワードを知る人間しか、DataLockerを使うことはできない。さきほどのデータ転送にも便利だ。両側でRFIDタグをもっていればいいのである。安心して宅配便で送付できる。
そして最後のコツとして書いておきたいのは、「メールの添付ファイル」を使わない、ということである。マルウェアに感染して情報漏洩をする事例が後をたたないが、マルウェアの流入経路はその大半がメールの添付ファイルだ。標的型メールはかなり巧妙に添付ファイルをクリックさせようとするので、油断ならない。上司の名前でメールが飛んできて、「クライアントからクレームが入っている。添付を確認してすぐに対処するように」と書かれていたら、たいていの人はファイルを開いてしまうだろう。
これに対抗するには、添付ファイルを使わない、というルールにするほかない。クラウドを利用禁止にしている企業も多いが、マルウェアに感染するリスクをそのままにしておくくらいなら、Dropboxのファイル転送サービスなどを積極的に使うべきだ。今後は、社員を信頼して、クラウドサービスを適宜使いこなす企業と、そうでない企業とで、差がついていくものと思う。