SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day レポート(AD)

「シャドーITを考慮した情報漏洩対策が必要」――日立ソリューションズ中川氏が解説

内部不正を防止するための技術的対策

 続いて、中川氏は、内部不正につながる主な脅威と、技術的な対策を解説した。脅威としては、共有アカウントを使ってサーバーになりすましのアクセスを行うことや、外部デバイスを使ってクライアントPCから情報を持ち出すといったものがある。これらに対する監視の仕組みがないと不正行為の見逃しにつながる。

 このため、対策としては、「認証やID管理を強化」することでそもそもアクセスさせないこと、「デバイス制御」を行うことで不正アクセスされても社内から情報を持ち出させないこと、監視・管理を行って、不正行為を見逃さないようにすることができるという。

 「ここ1~2年は、私物のスマートデバイスを社内に持ち込んで勝手に使う"シャドーIT"が脅威として広がりつつある。シャドーITはこれまで企業が行ってきた情報漏洩対策の抜け穴になってしまう可能性がある。これからはシャドーITを考慮した情報漏洩対策を実施する必要がある」(中川氏)

出所:Security Online Day 2014/日立ソリューションズ講演資料より

 シャドーITが情報漏洩対策の抜け穴になるケースとしては、スマートフォンへのデータコピーがある。USBメモリの使用を禁止していても、スマートフォンにデータがコピーできてしまうことがあるのだ。スマートフォンのOSや製造メーカー、接続方法の違いによって、PCでの認識のされ方が異なる。たとえば、Androidでは、カードリーダーモードのほか、メディアを転送するためのMTPモード、メーカー独自モードなどが存在する。カードリーダーモードだけを制限していた場合、MTPモードなどでの情報の転送を制限できないことになる。ここで有効なのは「認識される可能性のあるすべてのデバイスに対してデータコピーをブロックする対策」だ。

 また、スマートフォンのテザリング経由で情報が持ち出されるケースも抜け穴となる。フィルタリングでインターネット接続をチェック・制限していてもテザリングを行うと、この制限を回避できてしまうのだ。インターネットに直接接続されると、社内のファイアウォールやWebフィルタリングなどのセキュリティ対策が効果を発揮しなくなる。クラウドストレージなどへのファイルの不正アップロードやWebメールの送受信、悪意のあるWebサイト閲覧によるマルウェア感染のリスクに直接さらされるわけだ。ここで有効なのは「PC側で接続できるネットワークを制限する対策」だ。具体的には、会社が許可していない無線LANアクセスポイントへの接続を禁止すればよい。

次のページ
「秘文」による情報漏洩対策

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day レポート連載記事一覧

もっと読む

この記事の著者

齋藤公二(サイトウコウジ)

インサイト合同会社「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6421 2015/05/07 16:54

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング