スマートデバイスからの情報漏洩リスクに注目
内部不正による情報漏洩リスクに注目が集まるようになった。たとえば、個人が社内に持ち込んだタブレットやスマートフォンをPCにつなぐと、対策が不十分なPCからデータを抜き取ることができる場合がある。実際に今年、それを原因とした大規模な情報漏洩が起こった。企業は、モバイルやクラウドといった新しいインフラに合わせたセキュリティ対策を行うことが求められている。中川氏のセッションでは、そのような時代背景の中で内部不正を防ぐための管理のあり方から具体的な対策までを解説した。
▲株式会社日立ソリューションズ
ハイブリットインテグレーションセンタ
プロダクト戦略部第2グループ 部長代理 中川 克幸氏
中川氏はまず、今年8月に経済産業省が5つの経済団体に対して行った、個人情報保護法等の遵守に関する周知徹底の要請について紹介した。この要請のなかでは、情報処理推進機構(IPA)が2013年3月に策定した「組織における内部不正ガイドライン」に触れられており、特に、今年9月に改訂された内容に注目しておく必要があると話した。
「改訂されたガイドラインで強調されているのは、経営層によるリーダーシップの強化、情報システム管理運用の委託における監督強化、高度化する情報通信技術への対応の3つ。特に3つめについては、スマートデバイスなどによる情報の持ち出しを抑止する対策、適切なアクセス権限の設定・管理およびアクセスの監視、ログを活用した監視の3つがポイントとなっている」(中川氏)
ガイドラインの4章「内部不正のための管理のあり方」では、10の観点から30項目の対策が示されている。このなかでも「リスクは許容しない方がよい」として、特に重視すべき項目とみなされているのが、「4-2 資産管理」「4-6 人的管理」「4-7 コンプライアンス」だ。
このうち、情報(データ)の資産管理の例としては、情報の所在を確認して情報資産目録を作成すること、情報を重要度に応じて格付けしマークなどで表示すること、限られた人だけが重要情報にアクセスできるようにすること、一人の管理者に権限を集中させないなどがある。こうした対策を行わないと、情報漏洩そのものに気づかなかったり、漏洩発覚後も不正競争防止法を適用するための要件を満たせないことになるという。
また、人的管理の対策の例としては、セキュリティ規定などルールを常に見えるように提示する、定期的なセキュリティ教育を実施するといった対策を求めている。また、コンプライアンスについては、従業員の雇用時や雇用終了時に、秘密保持契約書提出を義務化したり、就業規則などに罰則規定を定めておくといった対策を求めている。
「こうした対策をすべて人手で行うことは企業にとって大きな負担になる。セキュリティツールによる技術的な対策により、管理負荷を軽減していくことが大切だ」(中川氏)
内部不正を防止するための技術的対策
続いて、中川氏は、内部不正につながる主な脅威と、技術的な対策を解説した。脅威としては、共有アカウントを使ってサーバーになりすましのアクセスを行うことや、外部デバイスを使ってクライアントPCから情報を持ち出すといったものがある。これらに対する監視の仕組みがないと不正行為の見逃しにつながる。
このため、対策としては、「認証やID管理を強化」することでそもそもアクセスさせないこと、「デバイス制御」を行うことで不正アクセスされても社内から情報を持ち出させないこと、監視・管理を行って、不正行為を見逃さないようにすることができるという。
「ここ1~2年は、私物のスマートデバイスを社内に持ち込んで勝手に使う"シャドーIT"が脅威として広がりつつある。シャドーITはこれまで企業が行ってきた情報漏洩対策の抜け穴になってしまう可能性がある。これからはシャドーITを考慮した情報漏洩対策を実施する必要がある」(中川氏)
シャドーITが情報漏洩対策の抜け穴になるケースとしては、スマートフォンへのデータコピーがある。USBメモリの使用を禁止していても、スマートフォンにデータがコピーできてしまうことがあるのだ。スマートフォンのOSや製造メーカー、接続方法の違いによって、PCでの認識のされ方が異なる。たとえば、Androidでは、カードリーダーモードのほか、メディアを転送するためのMTPモード、メーカー独自モードなどが存在する。カードリーダーモードだけを制限していた場合、MTPモードなどでの情報の転送を制限できないことになる。ここで有効なのは「認識される可能性のあるすべてのデバイスに対してデータコピーをブロックする対策」だ。
また、スマートフォンのテザリング経由で情報が持ち出されるケースも抜け穴となる。フィルタリングでインターネット接続をチェック・制限していてもテザリングを行うと、この制限を回避できてしまうのだ。インターネットに直接接続されると、社内のファイアウォールやWebフィルタリングなどのセキュリティ対策が効果を発揮しなくなる。クラウドストレージなどへのファイルの不正アップロードやWebメールの送受信、悪意のあるWebサイト閲覧によるマルウェア感染のリスクに直接さらされるわけだ。ここで有効なのは「PC側で接続できるネットワークを制限する対策」だ。具体的には、会社が許可していない無線LANアクセスポイントへの接続を禁止すればよい。
「秘文」による情報漏洩対策
そのうえで、中川氏は、日立ソリューションズが展開する「秘文」では、こうした「不正なデータコピー」や「テザリングの使用」に対して、情報漏洩をブロックすることができると説明。特に、不正なデータコピーでは、モバイルやウェアラブルデバイスなど、今後新たに登場することが予想されるさまざまなデバイスの脅威にも対応できるとした。
また、スマートフォンのテザリングについては、Wi-FiテザリングやBluetoothテザリングだけでなく、USBケーブルを接続するUSBテザリングのように、有線LAN接続と認識される可能性があるものまで防止できることがポイントだという。
また、日立ソリューションズでは、「認証強化・ID管理」「管理・監査」「持ち出し制御」「データ統制」という4つの分野に対応した内部不正防止ソリューションも提供している。セキュリティコンサルタントのコンサルテーションにより、現状のセキュリティ対策が効果的に運用されているか、対策に漏れはないかなどを明確にした上で、日立ソリューションズが提供する豊富なセキュリティ関連のソリューションを組み合わせたお客様の業務環境に最適な対策を行うことが可能だ。
