軍事情報の保全(4)軍用デバイスの情報漏洩対策を考える

お役所や民間企業で時折、「ラップトップを置き忘れたり、紛失したりしたせいで情報が漏洩した」という事故が発生することがある。軍事組織、あるいは防衛関連メーカーでも他人事とはいえない。

なくさない方法よりも、なくしても大事に至らない方法

セキュリティ・ソフトウェアのような技術的な手段では、置き忘れや紛失を阻止するのは困難である。物理的に発生する問題であるだけに、「なくしては困るデバイスは身体にくくりつけておく」というアナログな解決策が、いちばん確実かもしれない。

とはいえ、何が起きても身体から離さないというのは、意外と難しい。例えば、空港の保安検査を通過する時は、ラップトップもスマートフォンも検査装置に通すために手放す必要がある。何が対象であれ、手放せば、紛失や置き忘れの可能性はついて回る。

となると、紛失あるいは盗難に遭った場合でも、デバイスに記録されている情報が外部に漏れないようにする、という対策のほうが現実的である。これなら技術的手段によって実現できる。

まず、真っ先に思いつくのは画面ロック。パーソナルコンピュータでは一般的な機能だが、スマートフォンでも使われている。ロックを解除する方法としては、パスフレーズやPINを入力する方法があるが、これだと総当たりで解除される可能性がある。

例えば、PINが4桁なら0000～9999までの10,000通りしかないのだから、試行は比較的容易だ。もちろん、「認証失敗が○○回以上続いたら、いったんロック解除を停止する」という手はあるのだが、それは所要時間を増やすだけで、根本的解決にならない。

そういう意味では、指紋認証や顔認証といった生体認証のほうが確実である。これなら総当たりはできない。ただしこの方法だと逆に、認識エラーでロックを解除できなくなる事態が怖いが、実際のところ、そういうトラブルは起きているのだろうか?

ただ、どういう方法でロックを解除するにしても、それはあくまでソフトウェアの操作という「表口」をロックするだけである。ストレージ・デバイスに書き込まれている情報が欲しければ、そんな迂遠な方法を使わなくても、デバイスをバラしてストレージ・デバイスを取り出してしまう方法がある。

すると今度は、ストレージ・デバイスに書き込まれているデータを暗号化する、という話になる。WindowsのBitLockerが身近な事例だろうか。

軍用デバイスのほうが事情は深刻

ここまではコンシューマー・レベルの製品でも使われている方法だが、軍用、とりわけ高いセキュリティ・レベルの情報を扱うデバイスになると、「それだけで大丈夫か?」という疑問が出てきても無理はない。

アイデアだけなら、いろいろ考えられる。例えば、何か特定の手順に沿わずに筐体を開けると物理的に破壊するとか、ストレージ・デバイスに記録されているデータが自動的に消滅するとか。

紙の書類やマイクロフィルムに書き込まれた情報を持ち歩く時に、特殊な専用容器を使用する手法がある。つまり、強引に開けようとしたり、急に激しい振動が加わったりしたりすると、自動発火して中身を燃やしてしまうといった類のもの。

ただ、紙やマイクロフィルムなら簡単に(?)燃やすことができるが、ラップトップやタブレットやスマートフォンになると、どうだろうか。物理的に破壊するといっても、一瞬では済みそうにない。瞬時に燃やそうとして強力な火の元を用意すれば、今度はその近くにいる人の身が危ない。

そうなると、遠隔操作でデータを消去する方法のほうが現実的かもしれない。紛失や盗難が発覚したら、ネットワーク経由でデータ消去の指令を送るというわけだ。

ただしこれが実現できるのは、相手のデバイスが通信可能な状態になっている場合に限られる。「圏外」だったり、わざと移動体通信網の電波が届きそうにない場所にデバイスを置いたりすれば、遠隔指令が効かない可能性が高くなる。

まして軍用ともなれば、移動体通信網がない僻地で使われる可能性は低くない。そこで「常時オンライン」を前提にするのは危なっかしい。

同じ「機密情報の塊」でも、飛行機ぐらいの大物になれば、現場に戦闘機を送り込んで誘導爆弾で粉々に爆砕してしまう手がある。だが、まさか「紛失したスマートフォンからの情報漏洩を防ぐために、戦闘機を送り込んで500ポンド(227kg)級の誘導爆弾を叩き込む」というわけにもいくまい。

ちなみに、敵味方識別装置(IFF : Identification Friend or Foe)という機器がある。レーダーと併用して探知目標を誰何、正しい応答が返ってくれば味方とみなす、というものだ。レーダー側には誰何するIFFインテロゲーターがあり、そこから電波で誰何した時に「正しい応答」を返すには、機上・艦上に搭載したIFFトランスポンダーを使う。

そのIFFトランスポンダーには、任務の度に変わるトランスポンダー・コードをセットする。その情報は当然ながら機微情報だ。敵に漏れたら「なりすまし」の危険性につながる。そこで、IFFの設定パネルにはトランスポンダー・コードを設定する機能だけでなく、消去する機能もある。

つまり、機を捨てて緊急脱出する際に、まずトランスポンダー・コードを消せというわけだ。しかし、そんな時間的余裕がない場合もあり得るだろう。機体が爆発あるいは墜落して粉々になってしまえば、トランスポンダー・コードの漏洩は防げる。しかし、IFFトランスポンダーが壊されず、敵手に落ちると厄介なことになる。

デバイスにデータを置かない(?)

「紛失したり盗まれたりしたデバイスに大事な情報が書き込まれているからいけないので、情報がなければいい」というのも1つの考え方。つまり、データをサーバ上に集約して、ネットワーク経由でアクセスするというわけだ。

ただ、民間レベルなら「常時オンライン状態」を前提にできそうだが、前述したように軍用品だと、通信網が完備していないところで使われる可能性がある。第一、データをネットワーク経由で取り出せたとしても、使用するソフトウェアそのものが機微情報だったら(軍用品ならおおいにあり得ることだ)、解決にならない。

こうしてみると、完璧な情報漏洩対策というのはなかなか見つからないものだ。