ルールの徹底!アプリデータを制御するには

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

ルールの徹底!アプリデータを制御するには

2012/02/21


 TwitterやFacebookなどのマイクロブログの利用者が近年急増し、DropboxやSugarSyncをはじめ、オンラインストレージも様々なものが登場してきた。さらに社内PCと自宅PCやモバイルデバイスをリモート接続できるVPNツールが手軽に使えるようになった今、セキュリティをどう担保すればよいのか悩む情報システム部門が多いだろう。「ポリシー作成」、「ルール遵守」という原則論はわかっていても、実際に違反者を発見して取り締まる手立てがなければ困る。まずは高リスクな行動を発見し、その中でできるだけきめ細かい配慮のもとに利用を制限していくことが重要だ。今回は、情報漏洩のもととなりかねない「勝手VPN」をはじめ、各種のアプリケーション利用によるリスクを低減するための方策を考えてみる。

データ制御

会社から従業員宅に勝手に「VPN」が!元社員が情報を見ていた?

 マイクロブログ、SNS、オンラインストレージといった、もともとはコンシューマ向けのサービスを「企業内個人」ユーザが気軽に利用することが多くなってきた。さらに各種IM(Instant Messenger)やSkypeのように外部へのファイル転送ができるサービスも多くなり、BitTorrentやWinnyのように外部とのP2P通信を行うツールも簡単に手に入る。SoftEther(および後継製品)やほかのソフトウェアVPN構築ツールを使った企業システムと外部PC間のVPN接続も、きわめて簡単に使えるようになった。
 こうした比較的新しいネットサービスやツールは、これまでの企業システムのセキュリティ対策では対応できないリスクを抱えている(図1)。

図1 近年の企業システムをとりまくネットサービスとツール
図1 近年の企業システムをとりまくネットサービスとツール

 社内の情報が外部に出ていくことにより、まずは情報漏洩リスクが心配される。また、外部との窓口が常に開いていることから、ウイルスの侵入、不正アクセスに関する不安がある。さらに、ネットサービスやツールそのものの信頼性、安定性も、必ずしも万全に検証されているとは言い難い。
 特にソフトウェアVPNツールを使って会社のシステムを自宅から利用することも比較的容易にできるようになったことはリスクが高い。1度社内からVPN接続が確立されると、情報システム部門でもそれを発見できないことが多く、例えば社員が退職したあともVPNは残り、社内の情報が継続して流出するような危険も指摘されている。
 こうしたリスクは、情報システム部門が利用に統制をかけられない、あるいは統制の方法がわからないことに原因の多くがあるだろう。しかし、もはやリスクがあるからといって、単純に特定アプリケーションの利用を禁じてしまってはエンドユーザはそっぽを向く。セキュリティリスクをできるだけ低減しながら、ユーザの意向に沿えるように運用を工夫し、ツールでできるところはツールで補っていくのが賢明だ。
 社員の常識に任せず、情報システム部門がどのように利用を統制できるのか、検討すべき時期にきた。


1

情報システム部門がコントロールできないアプリケーション利用

 利用の統制がとれていないことが多いアプリケーションの代表的な例と、その課題をあげてみよう。

1-1

マイクロブログやSNS

 ここ数年で大きく成長したマイクロブログやSNSは、企業の責任で積極的に利用しているケースも多い。

■メッセージのURLクリックから始まるウイルス感染

 問題の1つはウイルス感染を呼び込む可能性だ。3年前から拡散したKOOBFACEウイルスはFacebookのメッセージ中のURLのクリックを促し、そのジャンプ先からの感染を狙ったウイルスだ。似たような手口の攻撃はいくつも見つかっている。メールではすでに古典的な手口だが、友人からのメッセージだと思えばこそクリックしてしまうという、ソーシャルメディアならではの心理を悪用している。しかも、メールの場合のような使いやすいフィルタリングツールがない。

■発言内容で「炎上」の可能性も

 また、コンプライアンス上問題がある発言で多くの人から指弾される事件はたびたび起きているし、機密情報を漏らしてしまうケースもある。

■使い方と発言のルールを守る

 まずは使い方のルール、発言のルールを決めて、社内で周知を図ることが奨められる。それが徹底できない場合は、担当者を決め、他の人はサービスを利用しないポリシーがとれるとよい。リテラシもあり、発言マナーや何が機密・機微事項なのかわかっている人を担当にすることで、不用意な発言やウイルス感染のリスクを低減することができよう。

セキュリティ情報局にご登録頂いた方限定で「ルールの徹底!アプリデータを制御するには」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


データ制御/ルールの徹底!アプリデータを制御するには」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「データ制御」関連情報をランダムに表示しています。

データ制御」関連の製品

ビッグデータ統合・連携基盤「Talend」 【エアー】
ビッグデータ
Eclipseベースのグラフィカルな統合開発環境を使用し、データ統合からアプリケーション連携、ビジネスプロセス管理まで行える統一プラットフォーム。多数の導入実績あり。

データ制御」関連の特集


すべてのシステムに必要となるデータベース。セキュリティ機能やBI機能が追加された最新データベース機能…



 第1回、第2回で紹介した3事例はすべて成功事例である。もうお分かりかと思うが、共通している経営者の…


「ファイアウォール」関連の製品

要件の変化に即応、拡張性重視のセキュリティゲートウェイ運用術 【マクニカネットワークス】 サービスゲートウェイで実現する通信事業者レベルのセキュリティ 【マクニカネットワークス】 NextGen Firewall Xシリーズ(旧 Barracuda Firewall) 【バラクーダネットワークスジャパン】
ファイアウォール ファイアウォール ファイアウォール
トラフィック増加も怖くない 拡張容易な次世代ファイアウォール より高度に、より堅牢に――”最高級”のセキュリティレベルを手に入れる 通常のL3/L4ファイアウォール機能に加え、アプリケーションとユーザの可視化・制御機能を備えたL7対応の次世代ファイアウォールアプライアンス。

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004524


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ