![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
ソリトンシステムズのサイバーセキュリティ 第4回 「究極のサイバー攻撃対策はIT退化なのか?増え続ける 『何もしないことのリスク』 」
特集 特集
しかし、ITを積極的に利用し、インターネットを活用することが、グローバルな市場競争の中で日本企業が戦う力となっているのも事実だ。モバイルやクラウドを活用することで、圧倒的なビジネススピードやイノベーションを手にした企業も多い。
サイバーリスクの高まりを受けて、IT依存度を低減し、IT退化することは、果たして賢い選択なのか? 攻めのITの一つである『モバイルワーク』の観点で、ソリトンシステムズ 荒木氏に話を聞いた。
●先進的かどうかの議論ではなく、リスクの変化
「業種・業態のご事情もあるので100%とは言いませんが、冷静にリスク分析していけば、IT依存度を下げることだけがサイバーリスク対策ではないという結論に達する企業・組織のほうが多いのではないでしょうか?
『モバイルワークなんて、うちの会社にはまだ早い』といったお声も時々聞きますが、これは、先進的かどうかの議論ではなく、環境が変化したことによるリスクの変化であって、サイバーセキュリティの文脈で考えるべき重要な検討項目です。(荒木氏)」
●IT依存度を下げることが逆にポリシー違反を助長する?
たとえば、個人のスマートデバイスに無断で打ち合わせのための機密情報をコピーしたり、個人のメールアドレスに訪問予定の顧客情報を転送するといったことは、セキュリティポリシーで禁止されていても、実はかなりの確率で行われていると考えたほうが良いという。
「もしモバイルワークがビジネスニーズとしてあるなら、こうしたリスクに対応するには、正規の安全な代替手段、つまりセキュアなモバイルワーク基盤を提供するのが一番です。厳しくモバイルワークを禁止し、IT依存度を下げる手段を取っても、隠れたポリシー違反を助長し、かえってリスクを高めてしまうおそれがあるため注意が必要です。(荒木氏)」
●逆転の発想が必要だったBYOD
では、セキュアなモバイルワークを実現するにはどうすれば良いのだろうか?
スマートフォンやタブレットなどのモバイルデバイスを積極的に活用させるために、私物端末を業務に活用させるBYOD(Bring your own device)を検討する企業も少なくない。しかし企業資産の端末と異なり、BYODは安易に端末初期化出来ず、また様々な種類の端末が想定されるため、検疫やポリシーチェックのアプローチは難しいと言われる。BYODをポリシーチェックしようとすると膨大な種類の端末に対応しなければならず、きりがなくなる可能性があるためだ。
「私たちもBYODにおけるセキュリティ確保に悩まれるお客様からご相談をいただき、検疫とは逆転の発想で企業の機密データを守るソリューションが必要だと考えました。つまり、モバイル端末内に安全な領域を作り、企業の機密データはその領域内だけで利用する、利用終了後はキャッシュ含めて機密データを削除するという考え方です。(荒木氏)」
そうして生まれたのが Soliton SecureBrowser/SecureGateway だという。
●スマートデバイスに合わせたリスク対策
スマートデバイスは、PCに比べて紛失率が高い。VPNで社内ネットワークやクラウドに接続させ情報参照させると、スマートデバイスにデータをダウンロード出来てしまう。つまりデータが残存したデバイスの紛失によって、情報漏洩する可能性が高くなってしまう。
機密情報をスマートデバイスに残さず、それだけを確実に削除する為には、VPN機能とデータ削除可能なセキュアな領域が一体化したソリューションが必要だった。
「さらに、ユーザー認証だけでなく、デジタル証明書ベースで端末認証出来るソリューションにするべきだと考えました。スマートデバイスで利用される情報は、機密性の高いケースも多いのに、端末識別ID等を利用した端末認証は、詐称が可能だったり、OSやデバイスメーカーによって仕様が異なるなど、様々な観点で課題があったためです。
端末を紛失した場合には、管理者側でデジタル証明書を無効にすれば、認証を失敗させることができます。認証はセキュリティの基本であり、モバイルデバイスだからといって妥協してはいけないポイントだと考えています。(荒木氏)」
Soliton SecureBrowser/SecureGateway は、iOS/Android/Windows/Macに対応し、デジタル証明書による認証を実装したモバイルワーク基盤として、機密性の高い情報を取り扱う企業・組織に多く採用されている。
●何もしないのもリスク
業務内容によっては、モバイルやクラウドを活用しないという選択もあるだろう。しかし、もし業務上、社外で何らかの機密情報を参照する必要性があるなら、そしてそれがスピードを要求される業務なら、出来るだけ早くリスク分析を行い、対策を検討すべきだという。
「どちらかというと、リスクを理解していないわけでも、IT依存度を下げようとしているわけでもなく、他プロジェクトとの兼ね合いなどでやむなくモバイルワークを後回しにしていらした企業の方が多いのではないかと思っています。モバイルワーク導入にあたり、社内規定の見直しや労務管理の課題に苦労なさっているケースもありますが、それでも、出来るだけユーザーの利便性を高め、本来のビジネスに集中できるセキュアなIT環境を提供したいという思いで、積極的に取り組まれている情報システム部門の方もたくさんいらっしゃいます。
そんな中、隠れたポリシー違反が増えている現状ばかりお話しするのは気が引けるのですが、いつ大きなインシデントが発生してもおかしくない状況も多数見受けられるので、個人的には危機感を覚えています。『何もしないのもリスク』であるとお伝えしつつ、少しでもこうした課題の解決にお役に立てればと考えています(荒木氏)」
モバイルワークは、ビジネススピードの加速だけでなく、ビジネスの継続性に貢献するケースもある。コストや労務管理など、様々な課題が付随して一筋縄にはいかないことも多いが、リスク管理の観点、そしてサイバーセキュリティの観点からも、モバイルワークを改めて検討するタイミングに来ているのかもしれない。
関連記事
![[インタビュー]ソリトンシステムズ 荒木粧子氏に聞く、 「年金機構」以降のサイバー攻撃とマイナンバー対策(前編) 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/16278.jpg)
ソース・関連リンク
Scan PREMIUM 会員限定記事
もっと見る-
国際SMSによる二要素認証が招くSOS(The Register)
許可を得たうえで通信会社のSS7プラットフォームへのアクセス権を手に入れ、被害者のビットコインウォレットを悪用する方法を示して見せた。
-
Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)
Apache Tomcat に、ファイル制限を回避して JSP ファイルがアップロード可能となる脆弱性が報告されています。
-
Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」
犯罪が組織化したということは、組織間の連絡や他組織との情報交換が盛んに行われるようになったということだ。言うまでもなく、そのコミュニケーションの中心となっているのはインターネットである。ではどこでそのようなコミュニケーションが図られているのか。
-
OSSに潜在する訴訟・脆弱性リスク
2017年には、機内娯楽サービスの会社がPanasonic Avionicsに対して1億ドルの訴訟を起こした。
Scan BASIC 会員限定記事
もっと見る-
特集工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第6回 「川辺」
オレと目を合わせず、落ち着きなく周囲を見回し、貧乏揺すりを始める。絵に描いたような不審者って感じだ。
-
工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」
第三者を巻き込んで実行するには、百万円は安すぎる。百万円を手に入れるなら顧客データを盗んで売るなり、もっと手っ取り早い方法もありそうだ。
-
工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」
この手の犯罪は手かがりが少ない。動機がわかると、有力な手がかりになる。しかし、動機は動機で物的証拠ではないから注意が必要だ。
-
平日と土日で変わるサイバー攻撃傾向~フォーティネット調査
フォーティネットは、同社FortiGuard Labsによる「2017年第2四半期の脅威レポート(日本語版)」をフォーティネット倶楽部会員向けに発表するとともに、記者説明会を開催した。
[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)
もっと見る-
特集工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」
ランサムウェアと呼ばれるマルウェアを使ったサイバー犯罪。オレは何度も扱ったことがある。
-
一田 和樹 作 「さよならアカウント」- 起こりうる事件 来たるべき世界 ~ サイバーミステリ小説アンソロジー
末期の重病を苦に自殺した少女のTwitterアカウントが死後復活した。フォロアーもフォローも1名だけのアカウントのツイート数は毎日増え続ける・・・
-
工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」
それから地下鉄構内のエクセルシオールカフェに入る。まずいコーヒーを注文し、口をつけないまま、PCを操作する。ここでは、Metro Free Wi-Fi という公衆無線LANを利用してインターネットに接続できる。
-
工藤伸治のセキュリティ事件簿 シーズン5 「ワンタイムアタッカー」 第1回「プロローグ:創業社長」
社長は財務とグルになって、秘密の口座に金をため込んでいる。たまたまそのことを知ったオレは、盗めるんじゃないかと思うようになった。もちろん犯罪だ。しかし、盗んでも社長は表沙汰にできない。なにしろ、隠し口座なんだから。
-
工藤伸治のセキュリティ事件簿 シーズン4 「超可能犯罪」 第1回「プロローグ:混沌の海のファネル」
インターネットは巨大な昏い海だ。悪意も善意もまとまりのなく漂っている。だが、混沌の中にひとたびファネル(漏斗)が生まれれば、そこに悪意が集積され濃縮され、そして思いもよらない形でリアルを浸食しはじめる。
-
工藤伸治のセキュリティ事件簿 シーズン3 「エリカとマギー」 第1回「プロローグ:破壊」
そして数日後、私は総合エンタテイメント企業エリカの顧客データベースへの侵入に、まんまと成功した。バカなエリカの連中に一泡吹かせてやる。私は、日本最初のハクティビストだ。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
ハンモックの「AssetView」および「AssetView PLATINUM」に複数の脆弱性(JVN)
NXP Semiconductors製「MQX RTOS」に任意のコードの実行など複数の脆弱性(JVN)
インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)
インシデント・事故 記事一覧へ
「スピードラーニング」のデータをオークション目的でアップロードし逮捕(ACCS)
脆弱性を突かれ不正アクセス、番組サイトに投稿した個人情報が流出(TOKYO MX)
スーパーフードの通販サイトでカード情報が流出、サイトは停止せず対策(フルッタフルッタ)
特集 カテゴリの人気記事 MONTHLY ランキング
-
![[対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか](/imgs/p/-o8hUiIkCj_ci7ffBUQ5xjkJUgdcBQQDAgEA/23163.jpg)
[対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか
-
マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」
-
グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く
-
Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」
-
工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」
-
工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」
-
クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く
-
工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」
-
Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)
-
工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」
