Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「シャドーITを考慮した情報漏洩対策が必要」――日立ソリューションズ中川氏が解説

  2015/01/29 11:00

内部不正を防止するための技術的対策

 続いて、中川氏は、内部不正につながる主な脅威と、技術的な対策を解説した。脅威としては、共有アカウントを使ってサーバーになりすましのアクセスを行うことや、外部デバイスを使ってクライアントPCから情報を持ち出すといったものがある。これらに対する監視の仕組みがないと不正行為の見逃しにつながる。

 このため、対策としては、「認証やID管理を強化」することでそもそもアクセスさせないこと、「デバイス制御」を行うことで不正アクセスされても社内から情報を持ち出させないこと、監視・管理を行って、不正行為を見逃さないようにすることができるという。

 「ここ1~2年は、私物のスマートデバイスを社内に持ち込んで勝手に使う"シャドーIT"が脅威として広がりつつある。シャドーITはこれまで企業が行ってきた情報漏洩対策の抜け穴になってしまう可能性がある。これからはシャドーITを考慮した情報漏洩対策を実施する必要がある」(中川氏)

出所:Security Online Day 2014/日立ソリューションズ講演資料より

 シャドーITが情報漏洩対策の抜け穴になるケースとしては、スマートフォンへのデータコピーがある。USBメモリの使用を禁止していても、スマートフォンにデータがコピーできてしまうことがあるのだ。スマートフォンのOSや製造メーカー、接続方法の違いによって、PCでの認識のされ方が異なる。たとえば、Androidでは、カードリーダーモードのほか、メディアを転送するためのMTPモード、メーカー独自モードなどが存在する。カードリーダーモードだけを制限していた場合、MTPモードなどでの情報の転送を制限できないことになる。ここで有効なのは「認識される可能性のあるすべてのデバイスに対してデータコピーをブロックする対策」だ。

 また、スマートフォンのテザリング経由で情報が持ち出されるケースも抜け穴となる。フィルタリングでインターネット接続をチェック・制限していてもテザリングを行うと、この制限を回避できてしまうのだ。インターネットに直接接続されると、社内のファイアウォールやWebフィルタリングなどのセキュリティ対策が効果を発揮しなくなる。クラウドストレージなどへのファイルの不正アップロードやWebメールの送受信、悪意のあるWebサイト閲覧によるマルウェア感染のリスクに直接さらされるわけだ。ここで有効なのは「PC側で接続できるネットワークを制限する対策」だ。具体的には、会社が許可していない無線LANアクセスポイントへの接続を禁止すればよい。


著者プロフィール

  • 齋藤公二(サイトウコウジ)

    インサイト合同会社 「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしておりま...

バックナンバー

連載:Security Online Day レポート
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5