![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
ソリトンシステムズのサイバーセキュリティ 第4回 「究極のサイバー攻撃対策はIT退化なのか?増え続ける 『何もしないことのリスク』 」
特集 特集
しかし、ITを積極的に利用し、インターネットを活用することが、グローバルな市場競争の中で日本企業が戦う力となっているのも事実だ。モバイルやクラウドを活用することで、圧倒的なビジネススピードやイノベーションを手にした企業も多い。
サイバーリスクの高まりを受けて、IT依存度を低減し、IT退化することは、果たして賢い選択なのか? 攻めのITの一つである『モバイルワーク』の観点で、ソリトンシステムズ 荒木氏に話を聞いた。
●先進的かどうかの議論ではなく、リスクの変化
「業種・業態のご事情もあるので100%とは言いませんが、冷静にリスク分析していけば、IT依存度を下げることだけがサイバーリスク対策ではないという結論に達する企業・組織のほうが多いのではないでしょうか?
『モバイルワークなんて、うちの会社にはまだ早い』といったお声も時々聞きますが、これは、先進的かどうかの議論ではなく、環境が変化したことによるリスクの変化であって、サイバーセキュリティの文脈で考えるべき重要な検討項目です。(荒木氏)」
●IT依存度を下げることが逆にポリシー違反を助長する?
たとえば、個人のスマートデバイスに無断で打ち合わせのための機密情報をコピーしたり、個人のメールアドレスに訪問予定の顧客情報を転送するといったことは、セキュリティポリシーで禁止されていても、実はかなりの確率で行われていると考えたほうが良いという。
「もしモバイルワークがビジネスニーズとしてあるなら、こうしたリスクに対応するには、正規の安全な代替手段、つまりセキュアなモバイルワーク基盤を提供するのが一番です。厳しくモバイルワークを禁止し、IT依存度を下げる手段を取っても、隠れたポリシー違反を助長し、かえってリスクを高めてしまうおそれがあるため注意が必要です。(荒木氏)」
●逆転の発想が必要だったBYOD
では、セキュアなモバイルワークを実現するにはどうすれば良いのだろうか?
スマートフォンやタブレットなどのモバイルデバイスを積極的に活用させるために、私物端末を業務に活用させるBYOD(Bring your own device)を検討する企業も少なくない。しかし企業資産の端末と異なり、BYODは安易に端末初期化出来ず、また様々な種類の端末が想定されるため、検疫やポリシーチェックのアプローチは難しいと言われる。BYODをポリシーチェックしようとすると膨大な種類の端末に対応しなければならず、きりがなくなる可能性があるためだ。
「私たちもBYODにおけるセキュリティ確保に悩まれるお客様からご相談をいただき、検疫とは逆転の発想で企業の機密データを守るソリューションが必要だと考えました。つまり、モバイル端末内に安全な領域を作り、企業の機密データはその領域内だけで利用する、利用終了後はキャッシュ含めて機密データを削除するという考え方です。(荒木氏)」
そうして生まれたのが Soliton SecureBrowser/SecureGateway だという。
●スマートデバイスに合わせたリスク対策
スマートデバイスは、PCに比べて紛失率が高い。VPNで社内ネットワークやクラウドに接続させ情報参照させると、スマートデバイスにデータをダウンロード出来てしまう。つまりデータが残存したデバイスの紛失によって、情報漏洩する可能性が高くなってしまう。
機密情報をスマートデバイスに残さず、それだけを確実に削除する為には、VPN機能とデータ削除可能なセキュアな領域が一体化したソリューションが必要だった。
「さらに、ユーザー認証だけでなく、デジタル証明書ベースで端末認証出来るソリューションにするべきだと考えました。スマートデバイスで利用される情報は、機密性の高いケースも多いのに、端末識別ID等を利用した端末認証は、詐称が可能だったり、OSやデバイスメーカーによって仕様が異なるなど、様々な観点で課題があったためです。
端末を紛失した場合には、管理者側でデジタル証明書を無効にすれば、認証を失敗させることができます。認証はセキュリティの基本であり、モバイルデバイスだからといって妥協してはいけないポイントだと考えています。(荒木氏)」
Soliton SecureBrowser/SecureGateway は、iOS/Android/Windows/Macに対応し、デジタル証明書による認証を実装したモバイルワーク基盤として、機密性の高い情報を取り扱う企業・組織に多く採用されている。
●何もしないのもリスク
業務内容によっては、モバイルやクラウドを活用しないという選択もあるだろう。しかし、もし業務上、社外で何らかの機密情報を参照する必要性があるなら、そしてそれがスピードを要求される業務なら、出来るだけ早くリスク分析を行い、対策を検討すべきだという。
「どちらかというと、リスクを理解していないわけでも、IT依存度を下げようとしているわけでもなく、他プロジェクトとの兼ね合いなどでやむなくモバイルワークを後回しにしていらした企業の方が多いのではないかと思っています。モバイルワーク導入にあたり、社内規定の見直しや労務管理の課題に苦労なさっているケースもありますが、それでも、出来るだけユーザーの利便性を高め、本来のビジネスに集中できるセキュアなIT環境を提供したいという思いで、積極的に取り組まれている情報システム部門の方もたくさんいらっしゃいます。
そんな中、隠れたポリシー違反が増えている現状ばかりお話しするのは気が引けるのですが、いつ大きなインシデントが発生してもおかしくない状況も多数見受けられるので、個人的には危機感を覚えています。『何もしないのもリスク』であるとお伝えしつつ、少しでもこうした課題の解決にお役に立てればと考えています(荒木氏)」
モバイルワークは、ビジネススピードの加速だけでなく、ビジネスの継続性に貢献するケースもある。コストや労務管理など、様々な課題が付随して一筋縄にはいかないことも多いが、リスク管理の観点、そしてサイバーセキュリティの観点からも、モバイルワークを改めて検討するタイミングに来ているのかもしれない。
関連記事
![[インタビュー]ソリトンシステムズ 荒木粧子氏に聞く、 「年金機構」以降のサイバー攻撃とマイナンバー対策(前編) 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/16278.jpg)
Scan PREMIUM 会員限定記事
もっと見る-
国際20年後の同窓会:米上院公聴会と、ハッカーが変えられなかった未来(1)発端(The Register)
今から20年前、ボストンを拠点としたハッカー集団 L0pht がインターネットはどうしようもなく安全性を欠いているとアメリカ上院で証言し、話題となった。
-
日本の仮想通貨市場と関連法 ~ コインチェック事件が与えた影響
日本の仮想通貨市場は今後どうなっていくのだろうか。
-
Foxit Reader および Foxit Phantom Reader における Use-After-Free とメモリリークにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
Foxit Reader および Foxit Phantom Reader において、メモリ関連の脆弱性を悪用して、遠隔から任意のコードが実行可能となる脆弱性が報告されています。
-
[学術研究] 主要セキュリティ対策の費用対効果ランキング
2016 年暮れに経済産業省から出された「サイバーセキュリティ経営ガイドライン Ver 1.0」の最初のページに載っていた、ある言葉を忘れられない人は少なくないかもしれません。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
NTT持株、アカウント名特定する新たな脅威「Silhouette」発見(NTT)
WordPress用プラグイン「日医標準レセプトソフト」に複数の脆弱性(JVN)
Movable Type用プラグイン「MTAppjQuery」にPHPコード実行の脆弱性(JVN)
Oracleが複数製品のクリティカルアップデートを公開、適用検討を呼びかけ(JPCERT/CC、IPA)
WordPressプラグイン「FV Flowplayer Video Player」にスクリプト実行の脆弱性(JVN)
「Explzh」に、任意のファイルを作成されたり上書きされる脆弱性(JVN)
インシデント・事故 記事一覧へ
複数サイトの個人情報流出、データベース設定に問題あり(ひのでやエコライフ研究所)
県立歴史館ホームページが改ざん被害、安全性が確認されるまで一時閉鎖に(長野県)
不正アクセスによるWebサイトが改ざん被害に(日本セーリング連盟オリンピック強化委員会)
個人が特定できる症例要約を記録したUSBメモリを医学部学生が紛失(群馬大学)
セキュリティポリシーを守らずUSBメモリを校外へ持ち出し紛失(横浜市)
フォームサービス運営会社への不正アクセスで個人情報流出の可能性(Cogent Labs)
調査・レポート・白書 記事一覧へ
情報漏えいの平均コストは386万ドル、「ビジネス機会の喪失」が高い割合(IBMセキュリティー)
アジアは依然攻撃対象の中心 -- APTレポート(カスペルスキー)
3ヶ月で20キロの体重変化、営業マンのY氏は顔認証システムを通過できたか
自動化の有効性は認識、課題は統合や管理(ジュニパーネットワークス)
マイニングマルウェアが前四半期から629%の大幅増--四半期レポート(マカフィー)
![[学術研究] 主要セキュリティ対策の費用対効果ランキング 画像](/imgs/std_m/24902.jpg)
[学術研究] 主要セキュリティ対策の費用対効果ランキング
研修・セミナー・カンファレンス 記事一覧へ
![[速報] 来週開催のFireEye社イベントの講演資料を事前入手 画像](/imgs/std_m/24956.jpg)
[速報] 来週開催のFireEye社イベントの講演資料を事前入手
「CODE BLUE 2018」を10月29日~11月2日に開催、3種類のトラックを新設(CODE BLUE事務局)
6社14種のWAFルールをサブスクリプション利用可、進化拡大する AWS のセキュリティがもたらす影響は
LAC西本氏ら講演、JAIPA Cloud Conference 2018(JAIPA)
刑事司法と犯罪防止の学生向けハッカソン決勝戦を開催(シマンテック)
電力のセキュリティは国防にも関係 - イスラエル電力公社会長タル元少将講演
製品・サービス・業界動向 記事一覧へ
サイバー保険加入者向けにサイバーインテリジェンス情報提供(MS&ADインターリスク総研)
RedSeal製ネットワークセキュリティ監査プラットフォームの運用支援サービス(テリロジー)
Web改ざん検知のSaaS版提供(アイネス、DIT)
金融機関向けにFISC安全対策基準のAzure対応版を作成(SCSK)
旧ブラウザで最新PCI DSS準拠サイトへの広告を非表示にする技術(ソネット・メディア・ネットワークス)
制限付インターネットや閉域網向け「Cylance」発売(サイランス)
おしらせ 記事一覧へ
![[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像](/imgs/std_m/25020.jpg)
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
![[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像](/imgs/std_m/24158.jpg)
[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
![[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像](/imgs/std_m/22971.jpg)
[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました
![[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像](/imgs/std_m/22623.jpg)
[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました
![[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像](/imgs/std_m/22570.jpg)
[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ
![[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ 画像](/imgs/std_m/21969.jpg)
