ソリトンシステムズのサイバーセキュリティ 第4回 「究極のサイバー攻撃対策はIT退化なのか?増え続ける 『何もしないことのリスク』 」 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.17(火)

ソリトンシステムズのサイバーセキュリティ 第4回 「究極のサイバー攻撃対策はIT退化なのか?増え続ける 『何もしないことのリスク』 」

特集 特集

インターネットは汚染され、サイバー攻撃が多様化する今日、もはやどこにも安息の地が無いようにも感じられる。究極のサイバー攻撃対策は、IT依存度を下げることではないかという皮肉さえ聞こえてくる。

しかし、ITを積極的に利用し、インターネットを活用することが、グローバルな市場競争の中で日本企業が戦う力となっているのも事実だ。モバイルやクラウドを活用することで、圧倒的なビジネススピードやイノベーションを手にした企業も多い。

サイバーリスクの高まりを受けて、IT依存度を低減し、IT退化することは、果たして賢い選択なのか? 攻めのITの一つである『モバイルワーク』の観点で、ソリトンシステムズ 荒木氏に話を聞いた。


●先進的かどうかの議論ではなく、リスクの変化

「業種・業態のご事情もあるので100%とは言いませんが、冷静にリスク分析していけば、IT依存度を下げることだけがサイバーリスク対策ではないという結論に達する企業・組織のほうが多いのではないでしょうか?

『モバイルワークなんて、うちの会社にはまだ早い』といったお声も時々聞きますが、これは、先進的かどうかの議論ではなく、環境が変化したことによるリスクの変化であって、サイバーセキュリティの文脈で考えるべき重要な検討項目です。(荒木氏)」

●IT依存度を下げることが逆にポリシー違反を助長する?

たとえば、個人のスマートデバイスに無断で打ち合わせのための機密情報をコピーしたり、個人のメールアドレスに訪問予定の顧客情報を転送するといったことは、セキュリティポリシーで禁止されていても、実はかなりの確率で行われていると考えたほうが良いという。

「もしモバイルワークがビジネスニーズとしてあるなら、こうしたリスクに対応するには、正規の安全な代替手段、つまりセキュアなモバイルワーク基盤を提供するのが一番です。厳しくモバイルワークを禁止し、IT依存度を下げる手段を取っても、隠れたポリシー違反を助長し、かえってリスクを高めてしまうおそれがあるため注意が必要です。(荒木氏)」

●逆転の発想が必要だったBYOD

では、セキュアなモバイルワークを実現するにはどうすれば良いのだろうか?

スマートフォンやタブレットなどのモバイルデバイスを積極的に活用させるために、私物端末を業務に活用させるBYOD(Bring your own device)を検討する企業も少なくない。しかし企業資産の端末と異なり、BYODは安易に端末初期化出来ず、また様々な種類の端末が想定されるため、検疫やポリシーチェックのアプローチは難しいと言われる。BYODをポリシーチェックしようとすると膨大な種類の端末に対応しなければならず、きりがなくなる可能性があるためだ。

「私たちもBYODにおけるセキュリティ確保に悩まれるお客様からご相談をいただき、検疫とは逆転の発想で企業の機密データを守るソリューションが必要だと考えました。つまり、モバイル端末内に安全な領域を作り、企業の機密データはその領域内だけで利用する、利用終了後はキャッシュ含めて機密データを削除するという考え方です。(荒木氏)」

そうして生まれたのが Soliton SecureBrowser/SecureGateway だという。

●スマートデバイスに合わせたリスク対策

スマートデバイスは、PCに比べて紛失率が高い。VPNで社内ネットワークやクラウドに接続させ情報参照させると、スマートデバイスにデータをダウンロード出来てしまう。つまりデータが残存したデバイスの紛失によって、情報漏洩する可能性が高くなってしまう。

機密情報をスマートデバイスに残さず、それだけを確実に削除する為には、VPN機能とデータ削除可能なセキュアな領域が一体化したソリューションが必要だった。

「さらに、ユーザー認証だけでなく、デジタル証明書ベースで端末認証出来るソリューションにするべきだと考えました。スマートデバイスで利用される情報は、機密性の高いケースも多いのに、端末識別ID等を利用した端末認証は、詐称が可能だったり、OSやデバイスメーカーによって仕様が異なるなど、様々な観点で課題があったためです。

端末を紛失した場合には、管理者側でデジタル証明書を無効にすれば、認証を失敗させることができます。認証はセキュリティの基本であり、モバイルデバイスだからといって妥協してはいけないポイントだと考えています。(荒木氏)」

Soliton SecureBrowser/SecureGateway は、iOS/Android/Windows/Macに対応し、デジタル証明書による認証を実装したモバイルワーク基盤として、機密性の高い情報を取り扱う企業・組織に多く採用されている。

●何もしないのもリスク

業務内容によっては、モバイルやクラウドを活用しないという選択もあるだろう。しかし、もし業務上、社外で何らかの機密情報を参照する必要性があるなら、そしてそれがスピードを要求される業務なら、出来るだけ早くリスク分析を行い、対策を検討すべきだという。

「どちらかというと、リスクを理解していないわけでも、IT依存度を下げようとしているわけでもなく、他プロジェクトとの兼ね合いなどでやむなくモバイルワークを後回しにしていらした企業の方が多いのではないかと思っています。モバイルワーク導入にあたり、社内規定の見直しや労務管理の課題に苦労なさっているケースもありますが、それでも、出来るだけユーザーの利便性を高め、本来のビジネスに集中できるセキュアなIT環境を提供したいという思いで、積極的に取り組まれている情報システム部門の方もたくさんいらっしゃいます。

そんな中、隠れたポリシー違反が増えている現状ばかりお話しするのは気が引けるのですが、いつ大きなインシデントが発生してもおかしくない状況も多数見受けられるので、個人的には危機感を覚えています。『何もしないのもリスク』であるとお伝えしつつ、少しでもこうした課題の解決にお役に立てればと考えています(荒木氏)」

モバイルワークは、ビジネススピードの加速だけでなく、ビジネスの継続性に貢献するケースもある。コストや労務管理など、様々な課題が付随して一筋縄にはいかないことも多いが、リスク管理の観点、そしてサイバーセキュリティの観点からも、モバイルワークを改めて検討するタイミングに来ているのかもしれない。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  2. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  3. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×