- 総合情報サイト
- IT製品比較ナビ
|
|
|
|
| |
||||||||||||
2012/02/21
|
TwitterやFacebookなどのマイクロブログの利用者が近年急増し、DropboxやSugarSyncをはじめ、オンラインストレージも様々なものが登場してきた。さらに社内PCと自宅PCやモバイルデバイスをリモート接続できるVPNツールが手軽に使えるようになった今、セキュリティをどう担保すればよいのか悩む情報システム部門が多いだろう。「ポリシー作成」、「ルール遵守」という原則論はわかっていても、実際に違反者を発見して取り締まる手立てがなければ困る。まずは高リスクな行動を発見し、その中でできるだけきめ細かい配慮のもとに利用を制限していくことが重要だ。今回は、情報漏洩のもととなりかねない「勝手VPN」をはじめ、各種のアプリケーション利用によるリスクを低減するための方策を考えてみる。 |
|
|
会社から従業員宅に勝手に「VPN」が!元社員が情報を見ていた?
マイクロブログ、SNS、オンラインストレージといった、もともとはコンシューマ向けのサービスを「企業内個人」ユーザが気軽に利用することが多くなってきた。さらに各種IM(Instant Messenger)やSkypeのように外部へのファイル転送ができるサービスも多くなり、BitTorrentやWinnyのように外部とのP2P通信を行うツールも簡単に手に入る。SoftEther(および後継製品)やほかのソフトウェアVPN構築ツールを使った企業システムと外部PC間のVPN接続も、きわめて簡単に使えるようになった。
こうした比較的新しいネットサービスやツールは、これまでの企業システムのセキュリティ対策では対応できないリスクを抱えている(図1)。
図1 近年の企業システムをとりまくネットサービスとツール |
|---|
 |
社内の情報が外部に出ていくことにより、まずは情報漏洩リスクが心配される。また、外部との窓口が常に開いていることから、ウイルスの侵入、不正アクセスに関する不安がある。さらに、ネットサービスやツールそのものの信頼性、安定性も、必ずしも万全に検証されているとは言い難い。
特にソフトウェアVPNツールを使って会社のシステムを自宅から利用することも比較的容易にできるようになったことはリスクが高い。1度社内からVPN接続が確立されると、情報システム部門でもそれを発見できないことが多く、例えば社員が退職したあともVPNは残り、社内の情報が継続して流出するような危険も指摘されている。
こうしたリスクは、情報システム部門が利用に統制をかけられない、あるいは統制の方法がわからないことに原因の多くがあるだろう。しかし、もはやリスクがあるからといって、単純に特定アプリケーションの利用を禁じてしまってはエンドユーザはそっぽを向く。セキュリティリスクをできるだけ低減しながら、ユーザの意向に沿えるように運用を工夫し、ツールでできるところはツールで補っていくのが賢明だ。
社員の常識に任せず、情報システム部門がどのように利用を統制できるのか、検討すべき時期にきた。
利用の統制がとれていないことが多いアプリケーションの代表的な例と、その課題をあげてみよう。
| 1-1 | |
マイクロブログやSNS |
|---|
ここ数年で大きく成長したマイクロブログやSNSは、企業の責任で積極的に利用しているケースも多い。
問題の1つはウイルス感染を呼び込む可能性だ。3年前から拡散したKOOBFACEウイルスはFacebookのメッセージ中のURLのクリックを促し、そのジャンプ先からの感染を狙ったウイルスだ。似たような手口の攻撃はいくつも見つかっている。メールではすでに古典的な手口だが、友人からのメッセージだと思えばこそクリックしてしまうという、ソーシャルメディアならではの心理を悪用している。しかも、メールの場合のような使いやすいフィルタリングツールがない。
また、コンプライアンス上問題がある発言で多くの人から指弾される事件はたびたび起きているし、機密情報を漏らしてしまうケースもある。
まずは使い方のルール、発言のルールを決めて、社内で周知を図ることが奨められる。それが徹底できない場合は、担当者を決め、他の人はサービスを利用しないポリシーがとれるとよい。リテラシもあり、発言マナーや何が機密・機微事項なのかわかっている人を担当にすることで、不用意な発言やウイルス感染のリスクを低減することができよう。
「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。
「データ制御/ルールの徹底!アプリデータを制御するには」関連の情報を、チョイスしてお届けします
※キーマンズネット内の「データ制御」関連情報をランダムに表示しています。
「セキュリティ」関連 製品レポート一覧
 |
 |
|
|
|
|
この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。
30004524
 |
|
ようこそゲストさん |
会員登録すれば豊富な製品レポートが読める!便利機能が使える!企業向けIT製品選定はキーマンズネット
データ制御
関連情報
 |
beat/basic サービス 【富士ゼロックス】 |
|
…ソリューション・その他 |
|
|
UTMソリューション WatchGuard XTM 【ウォッチガード・テクノロジー・ジャパン】 |
|
…ハードウェア |
|
|
HP TippingPoint IPS 【日本ヒューレット・パッカード】 |
|
…ハードウェア |
|
|
SaaS Endpoint Protection (旧Total Protection Service) 【マカフィー】 |
|
…ASP・SaaS |
|
|
Network Security Platform 【マカフィー】 |
|
…ハードウェア |
|
|
クラウド型WAFサービス 【日本ベリサイン】 |
|
SonicWALL NSA E-classシリーズ 【マクニカネットワークス+他】 |
|
…ハードウェア |
|
|
ファイアウォールログ解析 「レポート」「通知」 FIREWALLstaff 【日立ソリューションズ】 |
|
…ソフトウェア |
|
|
Check Point Appliance 2012モデル 【ソフトバンクBB】 |
|
…ハードウェア |
|
|
Check Point Security Gateway R7x 【チェック・ポイント・ソフトウェア・テクノロジーズ】 |
|
…ハードウェア |
|
|
|
|
