![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
ソリトンシステムズのサイバーセキュリティ 第4回 「究極のサイバー攻撃対策はIT退化なのか?増え続ける 『何もしないことのリスク』 」
究極のサイバー攻撃対策は、IT依存度を下げることではないかという皮肉さえ聞こえてくる。サイバーリスクの高まりを受けて、IT依存度を低減し、IT退化することは、果たして賢い選択なのか?
特集
特集
しかし、ITを積極的に利用し、インターネットを活用することが、グローバルな市場競争の中で日本企業が戦う力となっているのも事実だ。モバイルやクラウドを活用することで、圧倒的なビジネススピードやイノベーションを手にした企業も多い。
サイバーリスクの高まりを受けて、IT依存度を低減し、IT退化することは、果たして賢い選択なのか? 攻めのITの一つである『モバイルワーク』の観点で、ソリトンシステムズ 荒木氏に話を聞いた。
●先進的かどうかの議論ではなく、リスクの変化
「業種・業態のご事情もあるので100%とは言いませんが、冷静にリスク分析していけば、IT依存度を下げることだけがサイバーリスク対策ではないという結論に達する企業・組織のほうが多いのではないでしょうか?
『モバイルワークなんて、うちの会社にはまだ早い』といったお声も時々聞きますが、これは、先進的かどうかの議論ではなく、環境が変化したことによるリスクの変化であって、サイバーセキュリティの文脈で考えるべき重要な検討項目です。(荒木氏)」
●IT依存度を下げることが逆にポリシー違反を助長する?
たとえば、個人のスマートデバイスに無断で打ち合わせのための機密情報をコピーしたり、個人のメールアドレスに訪問予定の顧客情報を転送するといったことは、セキュリティポリシーで禁止されていても、実はかなりの確率で行われていると考えたほうが良いという。
「もしモバイルワークがビジネスニーズとしてあるなら、こうしたリスクに対応するには、正規の安全な代替手段、つまりセキュアなモバイルワーク基盤を提供するのが一番です。厳しくモバイルワークを禁止し、IT依存度を下げる手段を取っても、隠れたポリシー違反を助長し、かえってリスクを高めてしまうおそれがあるため注意が必要です。(荒木氏)」
●逆転の発想が必要だったBYOD
では、セキュアなモバイルワークを実現するにはどうすれば良いのだろうか?
スマートフォンやタブレットなどのモバイルデバイスを積極的に活用させるために、私物端末を業務に活用させるBYOD(Bring your own device)を検討する企業も少なくない。しかし企業資産の端末と異なり、BYODは安易に端末初期化出来ず、また様々な種類の端末が想定されるため、検疫やポリシーチェックのアプローチは難しいと言われる。BYODをポリシーチェックしようとすると膨大な種類の端末に対応しなければならず、きりがなくなる可能性があるためだ。
「私たちもBYODにおけるセキュリティ確保に悩まれるお客様からご相談をいただき、検疫とは逆転の発想で企業の機密データを守るソリューションが必要だと考えました。つまり、モバイル端末内に安全な領域を作り、企業の機密データはその領域内だけで利用する、利用終了後はキャッシュ含めて機密データを削除するという考え方です。(荒木氏)」
そうして生まれたのが Soliton SecureBrowser/SecureGateway だという。
●スマートデバイスに合わせたリスク対策
スマートデバイスは、PCに比べて紛失率が高い。VPNで社内ネットワークやクラウドに接続させ情報参照させると、スマートデバイスにデータをダウンロード出来てしまう。つまりデータが残存したデバイスの紛失によって、情報漏洩する可能性が高くなってしまう。
機密情報をスマートデバイスに残さず、それだけを確実に削除する為には、VPN機能とデータ削除可能なセキュアな領域が一体化したソリューションが必要だった。
「さらに、ユーザー認証だけでなく、デジタル証明書ベースで端末認証出来るソリューションにするべきだと考えました。スマートデバイスで利用される情報は、機密性の高いケースも多いのに、端末識別ID等を利用した端末認証は、詐称が可能だったり、OSやデバイスメーカーによって仕様が異なるなど、様々な観点で課題があったためです。
端末を紛失した場合には、管理者側でデジタル証明書を無効にすれば、認証を失敗させることができます。認証はセキュリティの基本であり、モバイルデバイスだからといって妥協してはいけないポイントだと考えています。(荒木氏)」
Soliton SecureBrowser/SecureGateway は、iOS/Android/Windows/Macに対応し、デジタル証明書による認証を実装したモバイルワーク基盤として、機密性の高い情報を取り扱う企業・組織に多く採用されている。
●何もしないのもリスク
業務内容によっては、モバイルやクラウドを活用しないという選択もあるだろう。しかし、もし業務上、社外で何らかの機密情報を参照する必要性があるなら、そしてそれがスピードを要求される業務なら、出来るだけ早くリスク分析を行い、対策を検討すべきだという。
「どちらかというと、リスクを理解していないわけでも、IT依存度を下げようとしているわけでもなく、他プロジェクトとの兼ね合いなどでやむなくモバイルワークを後回しにしていらした企業の方が多いのではないかと思っています。モバイルワーク導入にあたり、社内規定の見直しや労務管理の課題に苦労なさっているケースもありますが、それでも、出来るだけユーザーの利便性を高め、本来のビジネスに集中できるセキュアなIT環境を提供したいという思いで、積極的に取り組まれている情報システム部門の方もたくさんいらっしゃいます。
そんな中、隠れたポリシー違反が増えている現状ばかりお話しするのは気が引けるのですが、いつ大きなインシデントが発生してもおかしくない状況も多数見受けられるので、個人的には危機感を覚えています。『何もしないのもリスク』であるとお伝えしつつ、少しでもこうした課題の解決にお役に立てればと考えています(荒木氏)」
モバイルワークは、ビジネススピードの加速だけでなく、ビジネスの継続性に貢献するケースもある。コストや労務管理など、様々な課題が付随して一筋縄にはいかないことも多いが、リスク管理の観点、そしてサイバーセキュリティの観点からも、モバイルワークを改めて検討するタイミングに来ているのかもしれない。
関連記事
![[インタビュー]ソリトンシステムズ 荒木粧子氏に聞く、 「年金機構」以降のサイバー攻撃とマイナンバー対策(前編) 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/16278.jpg)
Scan PREMIUM 会員限定記事
もっと見る-
特集ここが変だよ日本のセキュリティ 第35回 「セキュリティは夏を制したものが勝つ?」後編 過去に学ぶ
昔のことを調べたり考えたりして、新たな道理や知識を見い出し自分のものとすること、これが温故知新だ。今回のテーマだ。知らないことを知るんじゃない、知っていることから考えるんだ。
-
「世界で人気はハッカーにも人気」ブリティッシュ・エアウェイズ個人情報 38 万件被害(The Register)
38 万枚ものペイメントカードがハッカーに開示されたことになる。
-
ここが変だよ日本のセキュリティ 第34回 「セキュリティ・〇ンコ知新ドリル」前編 過去に学ぶ
過去事例あり。新しい話じゃない。しかも、もっと昔は被害のスケールが大きかった。
-
GhostScript において -dSAFER オプションの不備を悪用して遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)
世界的シェアを誇る、PDF や画像を処理するソフトである GhostScript に、遠隔コード実行につながる脆弱性が報告されています。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
Appleが「Safari」「iOS」など5製品のセキュリティアップデートを公開(JVN)
正規のデジタル証明書で署名されたマルウェアを確認(カスペルスキー)
複数のFXC製ネットワーク機器に、任意スクリプト実行の脆弱性(JVN)
月例セキュリティ情報、1件に「悪用の事実を確認済み」(IPA、JPCERT/CC)
Intelの複数の製品に脆弱性、アップデートを呼びかけ(JVN)
「サイボウズ Garoon」にサーバ上のファイルを改ざんされる脆弱性(JVN)
インシデント・事故 記事一覧へ
リスト攻撃と推測される不正ログインでワオンポイントが別のカードに移行される被害(イオンマーケティング)
ローソンアプリを使ったdポイントの不正利用が判明、「デジタルdポイントカードサービス」を一時停止に(ローソン)
特定条件での脆弱性が発覚、「消費税転嫁・下請取引申告受付システム」を一時停止(経済産業省)
サーバへの不正アクセスでデータ書き換え被害、一部データは復元不可能に(BCCKS)
ローソンIDサイトにパスワードリスト攻撃が多発、全パスワードのリセットを実施(ローソン)
海外語学研修先のオーストラリアで生徒の個人情報を紛失(立命館宇治中学校・高等学校)
調査・レポート・白書 記事一覧へ
パスワードや認証情報を狙う脅威が多発--四半期レポート(ウォッチガード)
IoTセキュリティ研究に焦点を当てた「CYBER GRID JOURNAL」(ラック)
世界の子供の夏休みオンライン活動、統計データ(カスペルスキー)
拡張子「.iqy」のファイルが添付されたマルウェアメールが増加(IIJ)
フィッシング詐欺が過去最大、法人を狙うケースも(トレンドマイクロ)
不正払い戻しの被害が個人・法人ともに増加、口座不正利用被害も微増(全銀協)
研修・セミナー・カンファレンス 記事一覧へ
つながる世界の安全をテーマに「Trend Micro DIRECTION」東京・大阪で開催(トレンドマイクロ)
「会いに行ける編集長 」ScanNetSecurity 上野宣も登壇、事例に学ぶ組織的セキュリティ対策セミナー(マイナビ)
すでに満席も、Security Days Fall 2018 を大阪・東京で開催(ナノオプト・メディア)
ペンテストのエキスパートトレーニングを開催(ナノオプト・メディア)
今年の Black Hat USA 会場で会った意外な人物
大成建設SIRT、 JPCERT/CC ~事例に学ぶインシデント対策・対応セミナー開催(マイナビ)
製品・サービス・業界動向 記事一覧へ
日本に22番目の拠点を設立、シェア3位を狙う(ESET、キヤノンITS)
PCや入館証等の法人向け紛失防止サービス、月480円 SaaS版も提供(MAMORIO)
「将来の脅威を予測し新技術を先行開発」--ウイルスバスター新版(トレンドマイクロ)
通知を1日2回にすることで安価にしたSOCサービス(IIJ)
6社により「情報銀行」の実証実験を開始(日立製作所ほか)
ファイル自動暗号化製品を刷新、マルチプラットフォームを実現(ALSI)
おしらせ 記事一覧へ
編集部海外取材お土産 < 応募締切 9/30 >
![[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像](/imgs/std_m/25020.jpg)
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
![[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像](/imgs/std_m/24158.jpg)
[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
![[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像](/imgs/std_m/22971.jpg)
[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました
![[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像](/imgs/std_m/22623.jpg)
[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました
![[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像](/imgs/std_m/22570.jpg)
