データ保護とモニタリング 段階的にセキュリティレベルを強化
②データ保護
認証を強化したら、次に行うのは情報資産の漏えい対策だ。データ保護といえば「DLP(Data Loss Prevention)」を想起する方も少なくないだろう。小川氏は「DLPの効果を最大限発揮させるためには、導入や運用段階で考慮しなくてはいけないことが多いのも事実です」とくぎを刺す。たとえば、導入段階なら機密情報の分類やデータの保管ポリシー、運用時には流出経路の監視やデータスキャンなどだ。加えて、昨今ではデバイスが多岐にわたるため、暗号化が課題となるケースも見受けられる。
一方、DLPとは異なる発想でデータを保護するアプローチもある。小川氏は「シンプルに、クラウドからデータを出さなければいい」と指摘した。
プロダクトマーケティング部 小川あさぎ氏
たとえば、画面転送においては仮想デスクトップ(VDI)方式やリモートデスクトップ方式、端末内分離ではセキュアコンテナ方式とセキュアブラウザ方式が該当する。画面転送(VDI方式)だと端末管理を一元化できるメリットがあるものの、最近では「やりたいことはブラウザで完結できる」ということから、よりコストを抑えられる端末内分離の人気が高まっているという。
端末内分離では端末にデータを残さないだけでなく、端末リソースをそのまま活用できるため、セキュリティを保ちつつコストも抑えることができる。Web閲覧以外にも使うならセキュアコンテナ方式、Web閲覧のみであればセキュアブラウザ方式といった選び方だ。小川氏によると、ソリトンシステムズ製品ではセキュアブラウザ方式やセキュアコンテナ方式があり、認証ソリューションと組みあわせてセキュリティ強化を図るケースも増えているそうだ。
③モニタリング
モニタリングの必要性はさまざまあるものの、見過ごしてはならないのが「シャドークラウド」のリスクだ。かつての「シャドーIT」と似ていて、組織のセキュリティ担当者が把握していない、個人や部署が独自に利用しているクラウドサービスを指す。IPA(情報処理推進機構)による調査では、シャドークラウド対策をしていない企業は約94%と示されており、大部分が実施していないことになる。
小川氏は「正規ユーザーによる、故意というよりは“過失に近い形”での情報漏えいを把握する手段として可視化やモニタリングは必要です」と指摘。モニタリングを検討するならばシャドークラウドの監視だけではなく、従来のような印刷やUSBストレージ経由の漏えいにも対応する方式を選ぶと良いだろう。
モニタリングにおける先進的な取り組み例には、西松建設の「働き方の可視化」が挙げられる。同社では国内外の拠点に4,700台もの端末があり、業務実態や退職者の情報持ち出しの把握に苦労していた。さらに建設業や運輸業では2024年から時間外労働の上限が厳格化する「2024年問題」へと対応するためにもモニタリングを強化する必要があった。
そこで西松建設では、ソリトンシステムズの「InfoTrace 360」を採用した。これはPC操作ログを取得し、分析や可視化ができるクラウドサービスだ。管理者はダッシュボードからPCのオン・オフはもちろん、利用が多いアプリやファイルをグラフで確認したり、誰がどの端末でどんなファイルをクラウドストレージにアップロードしたのか詳細を管理したりできる。これにより、同社では勤務状況が把握できるようになり、業務改善にもつなげられているという。
これら3つのポイントを押さえた上で、最後に小川氏は次のようにまとめた。「他にも考慮すべきことはありますが、これからのITインフラで不可欠となるゼロトラスト導入で何をすべきかわからないならば『認証』『データ保護』『モニタリング』から始めて、少しずつアップデートしていくべきでしょう」。
