情報漏えいはデバイス経由のみにあらず。ネットワークにおけるプロトコル制御で万全のセキュリティ体制を


表沙汰になっている情報漏えい事件は“氷山の一角”

氷山の一角

このところ、情報漏えい事件・事故が新聞紙上をにぎわせている。しかし、情報漏えい事件・事故のすべてがニュースになるわけではない。そもそも日本には情報漏えいが発生した際、その報告先となる共通の窓口というものが存在しない。また、報告のやり方は業界や監督省庁などによって異なり、義務のない業界も多いことから、実際に起きた情報漏えいの件数は、表沙汰になっているものよりはるかに多いと考えられる。

さらに、情報漏えいが発生したとしても、企業が気づかない限りは事件・事故として成立しない。たとえばサイバー攻撃なら一般的な通信を偽って情報を奪取するし、内部犯罪では正規の権限を持つ人間がデータを盗み出すため、結果的に誰も気がつかず、機密情報がブラックマーケットなどに流出して初めて発覚するというケースは珍しくない。こうした“発覚していない”情報漏えいの件数は、決して少なくないと考えた方がいいだろう。

セキュリティ意識の低さがリスクを招く、今こそ情報漏えい対策を見直すとき

情報漏えいを発生させてしまった企業は大きな損害を受ける。特に、漏えいしたものに顧客などの個人情報が入っていた場合はなおさらだ。氏名や住所、メールアドレスなどの情報が漏れればセールスやスパムの対象となる可能性があるし、クレジットカードの番号であれば金品の窃取など最悪のケースを招くだろう。こうした事態に対処するには相当な労力とコストが必要であり、ビジネスの停止やブランドの失墜も併せると、会社が傾くほどの損害になることも考えられる。

また、先ごろマイナンバー制度がスタートしたが、この番号は国民ひとりに対しひとつしか与えられない第一級の個人情報であるため、絶対に漏えいは許されない。制度の中でもマイナンバーを扱う際には厳格な管理を求めており、仮に漏えいしてしまった場合には罰則も規定されている。以上のことを考えると、情報漏えい対策は全ての企業にとって喫緊の課題といえよう。

こうした状況にあっても、我が国の企業のセキュリティ意識は総じて低いという。「ウチだけは大丈夫」「盗まれて困る重要な情報はない」など、危機感の薄い経営者が多く、こうした企業ではセキュリティ対策もおろそかになっている。しかし前述の顧客情報やマイナンバーのように、どんな企業にも重要な情報はあり、それを狙う者がいる。セキュリティ意識の低さはそのままリスクにつながり、取り返しのつかない結果を招きかねないことをよく考え、今こそ情報漏えい対策を見直すときと認識しよう。

それでは、いったいどのような対策が効果的なのだろうか?

情報漏えい対策に効果的な「デバイス制御」

“情報漏えい”と聞くと、サイバー攻撃や盗難を想像する方も多いだろうが、全体の件数からみると、これらが原因の事件・事故の割合は意外と少なく、むしろ誤操作や管理ミス、紛失などが大半を占めている。

こうした情報漏えいの多くはUSBメモリなどのデバイスを介して発生しているが、このことに着目した情報漏えい対策が「デバイス制御」だ。デバイス制御とは、PCのUSBポートなどに接続される各種デバイスへのアクセス権限をコントロールすることで情報漏えいを防ぐというもの。具体的には、USBメモリ、光学ディスクドライブ、外付けハードディスク、スマートフォン、プリンタなどの使用や読み書きに制限をかける。これにより、機密情報が許可なく社内から持ち出されることを予防し、事故・事件に至る確率も減らすという仕組みだ。

デバイス制御の分野で代表的な製品のひとつに、ラネクシーの提供する「DeviceLock(デバイスロック)」がある。国内3200社、30万台の導入実績を持ち、外部デバイス制御パッケージの分野でシェアNo.1※を誇る製品だが、その特徴はデバイスをホワイトリスト方式で管理できる点にある。
※ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2015」による

DeviceLockのホワイトリスト機能を使えば、たとえば特定のUSBメモリのみ使用を許可し、それ以外の使用を禁止する…といったことが可能だ。リストにはシリアルナンバーで個体登録できるほか、ベンダIDやプロダクトIDの組み合わせによる製品登録も可能なため、暗号化機能の付いた特定の製品に限定して使用を許可するという使い方もできる。また、ユーザごとにアクセス権の設定が可能なため、たとえば技術部の人間のみ光学ドライブの使用を許可するといった使い方もできる。

さらには、(2014年の某事件で有名になった)スマートフォン経由での情報漏えいにも対応。DeviceLockは、スマートフォンの接続方式すべて(MSC、MTP、PTP、USBデバッグモード)に対応できるため、抜け道が存在しない。他にもコンテンツ認識ルール(ファイルタイプによってアクセス許可・拒否を指定できる)や監査ログ/シャドウイングなど、情報漏えい対策に効果的な機能が多数盛り込まれているという点もDeviceLockの優位性となっている。

ネットワークは情報漏えい対策の盲点

情報漏えい対策として、デバイス制御という方法とその代表製品であるDeviceLockが効果的ということはご理解いただけたかと思う。しかしここで注意したいのが、デバイス以外にも情報漏えいの経路はあるということ。そう、ネットワークだ。

現在は回線の高速化やクラウドサービスの普及により、ネットワーク経由、具体的にはメールやクラウドストレージ、掲示板等を使って大容量ファイルの受け渡しが可能になった。たとえば機密情報をメールに添付して外部へ送信したり、クラウドストレージへ保存したり、掲示板へアップロードしたりなどの方法だ。つまりデバイスを使わずに社外へデータを持ち出せるわけで、この点、情報漏えい対策では意外な盲点となっている。

ラネクシーでは、こうした持ち出しに対応するため、DeviceLockのオプションとして、ネットワークからの情報漏えい対策製品「NetworkLock(ネットワークロック)」を用意している。NetworkLockでは、Windowsにおけるさまざまなプロトコルの制御、証跡の取得をクライアント単位で実現する。たとえば、WebサイトやWebサービスについてはHTTP/HTTPSプロトコル、メールはSMTP/Web Mailプロトコル、クラウドサービスではFile Sharingプロトコルなど、プロトコルごとの制御、認証の取得が可能だ。

NetworkLockでは、DeviceLockと同様にホワイトリストによる制御が可能となっている。たとえば特定のWebページへのアクセスのみを許可したり、Webサービスに送信するファイルを特定の種類のみに限定したりすることが可能だ。また、そのポリシーは社内(オンライン)と社外(オフライン)で設定を変えることもできる。

NetworkLockの活用事例

実際にDeviceLockおよびNetworkLockを活用している事例を紹介しよう。某社では個人情報など機密データの取り扱いをおこなうPCにおいて、すべてのポートの仕様を制限。勝手にサーバーからPCへ機密情報をダウンロードし、USBメモリや外部ストレージなどにコピーできないようにしている。

また、データを印刷したり、メールに添付して送ったりすることも可能だ。端的にいえばサーバーへのアクセス以外には何もできなくすることで、ウイルス感染や内部犯行による情報漏えいを予防し、行動なセキュリティを確保している。

まとめ

情報漏えいは、ときに企業の存続すら危うくするリスクであり、絶対に防がなくてはならないものだ。情報が漏えいする経路はデバイスとネットワークが主なものだが、どちらにせよ社内から社外へ出て行くところを押さえる必要がある。だからといって両者の利用を一切禁止するなど、あまり縛りをきつくしてしまうと、業務の効率を低下させるおそれもあるため注意が必要だ。

業務の効率を維持しつつセキュリティレベルを上げるためには、前述のホワイトリストという方法が最も現実的だろう。DeviceLockとNetworkLockを組み合わせて導入すれば、デバイスおよびネットワークの制御を一元管理でき、また社員の権限やデバイスの種類などに合わせて細かなカスタマイズが可能。証跡となるログを取得することもできるため、万が一の際の検証に役立つし、内部犯行の抑止にもなる。

もちろん他の製品でも複数を組み合わせることで、同様の効果を期待することは可能だが、DeviceLockは単体でこれらの機能を提供できる点に強みがある。ワンパッケージで済むので導入・運用が容易であり、エンドポイントにピンポイントでの導入なら価格も抑えることができるというのも魅力だ。

今こそ情報漏えい対策を見直し、DeviceLockの導入を検討されてはいかがだろう。

ホワイトペーパーをご提供しています<無料>

DeviceLock ホワイトペーパー

本ホワイトペーパー「情報漏えいはデバイス経由のみにあらず。ネットワークにおけるプロトコル制御で万全のセキュリティ体制を」は資料請求にて無料でダウンロードできます。