内部不正を防止するための技術的対策
続いて、中川氏は、内部不正につながる主な脅威と、技術的な対策を解説した。脅威としては、共有アカウントを使ってサーバーになりすましのアクセスを行うことや、外部デバイスを使ってクライアントPCから情報を持ち出すといったものがある。これらに対する監視の仕組みがないと不正行為の見逃しにつながる。
このため、対策としては、「認証やID管理を強化」することでそもそもアクセスさせないこと、「デバイス制御」を行うことで不正アクセスされても社内から情報を持ち出させないこと、監視・管理を行って、不正行為を見逃さないようにすることができるという。
「ここ1~2年は、私物のスマートデバイスを社内に持ち込んで勝手に使う"シャドーIT"が脅威として広がりつつある。シャドーITはこれまで企業が行ってきた情報漏洩対策の抜け穴になってしまう可能性がある。これからはシャドーITを考慮した情報漏洩対策を実施する必要がある」(中川氏)
シャドーITが情報漏洩対策の抜け穴になるケースとしては、スマートフォンへのデータコピーがある。USBメモリの使用を禁止していても、スマートフォンにデータがコピーできてしまうことがあるのだ。スマートフォンのOSや製造メーカー、接続方法の違いによって、PCでの認識のされ方が異なる。たとえば、Androidでは、カードリーダーモードのほか、メディアを転送するためのMTPモード、メーカー独自モードなどが存在する。カードリーダーモードだけを制限していた場合、MTPモードなどでの情報の転送を制限できないことになる。ここで有効なのは「認識される可能性のあるすべてのデバイスに対してデータコピーをブロックする対策」だ。
また、スマートフォンのテザリング経由で情報が持ち出されるケースも抜け穴となる。フィルタリングでインターネット接続をチェック・制限していてもテザリングを行うと、この制限を回避できてしまうのだ。インターネットに直接接続されると、社内のファイアウォールやWebフィルタリングなどのセキュリティ対策が効果を発揮しなくなる。クラウドストレージなどへのファイルの不正アップロードやWebメールの送受信、悪意のあるWebサイト閲覧によるマルウェア感染のリスクに直接さらされるわけだ。ここで有効なのは「PC側で接続できるネットワークを制限する対策」だ。具体的には、会社が許可していない無線LANアクセスポイントへの接続を禁止すればよい。
