セキュリティの現場から from バラクーダラボ(22) BYODのためのプロアクティブなセキュリティ

BYODに関するプロアクティブなセキュリティについて話をしてほしいとのリクエストがありました。大部分において、通常のネットワークセキュリティに適用される従来のプロアクティブな基準がBYODにも当てはまりますが、従業員が個人所有するモバイル端末に対して、事前に注意すべきいくつかの点があります。

最も大切なことの1つは、ユーザが所有するモバイル端末を会社のネットワークに接続することを認めるかどうかを判断することです。この判断により、適切なポリシーを策定するステップに進むことができます：

社員が個人所有のスマートフォンで会社のメールを受信することを認めるか？
社員がモバイル端末で会社のデータにアクセスすることを認めるか？
リモートネットワークアクセスをVPNに限定するか？
ネットワークアクセスコントロールを強制的に行うか？その場合、どうするのか？
社員が端末にデータを保存することを認めるか？
社員がドキュメントを画像にし、メールに添付して送信することを認めるか？

まだまだ決めなければならないことがたくさんあります。

最近のSpiceworksの調査によると、61%のSMBが、社員が所有するモバイル端末を使って企業ネットワークにアクセスすることを認めていますが、そのほとんどの企業がモバイル端末を管理する必要性は感じていませんでした。この結果から筆者は、ほとんどのSMBがモバイル端末を介した外部からの攻撃に対して無防備だと感じざるを得ません。例えば、アンドロイド端末からデータを盗むマルウェアであるAndroid Enesolutyのケースを考えてみてください。端末が感染すると、マルウェアは携帯端末からデータを収集しマルウェアサーバに転送します。そしてサーバは情報を精査し重要なデータを抽出します。最近逮捕された有名なポーカープレーヤーである香川雅昭容疑者のケースでは、貴重なデータはアドレス帳の中にありました。伝えられたところによると、香川容疑者と彼のグループは810,000台もの感染したアンドロイド端末から3,700万件以上のメールアドレスを盗みだしたとのことです。これらのメールアドレスは、有料の偽出会い系サイトにユーザを勧誘するために使用されました。犯行グループはこの詐欺で390万ドルを搾取することに成功しています。

もしこのマルウェアが自社の社員のスマートフォンに感染したとして、会社にセキュリティポリシーが存在しなかったらどうなるでしょうか？

つまり、次の大事なステップは、BYODには管理が必要だという認識を持つことです。BYODを奨励、認可、あるいは禁止したり無視したりすることだけでは十分ではありません。モバイル端末のためのセキュリティポリシーが必須なのです。この領域で強いリーダーシップを示さない限り、企業のネットワークが守られているという確証は得られません。

モバイルポリシーを考える上で、モバイル端末からのアクセスには本体とは別のネットワークを使わせることを検討してみてください。会社のリソースに直接アクセスさせずにインターネットの利用を認める方法です。これらのモバイル端末によるネットワークの利用を制限し、必要に応じて監視したり、シャットダウンすることもできます。これはBYODを業務に統合するという意味では最上の戦略ではないかもしれませんが、少なくとも未承認の個人端末のアクセスからネットワークを守ることはできます。

また、ポリシー策定において、ステークホルダや他のユーザからの異なる視点も取り入れてみてください。法務や人事、ヘルプデスク、そして営業やマーケティングの意見も有効かもしれません。もちろん全員がBYODの技術的側面を理解できるわけではないでしょうし、また意思決定権を持たないかもしれませんが、少なくとも彼らはモバイル端末について何がしかのことは知っているはずです。ですから、コンプライアンス面やワークフローの効率性、モバイル端末ユーザの習慣などについてフィードバックが得られるはずです。

ポリシーが策定できたら、継続的にその効果を検証してください。そして必要に応じて手を加え、改善してください。

最後に、プロアクティブなセキュリティはソフトウェアとエレクトロニクスの問題だけではないことを忘れないでください。ユーザに対する教育も必要です。パスコードとパスワードの重要性を繰り返し教え、個人所有の端末からどのような企業データでも消去できる方法を用意しておいてください。また、アンチマルウェアソフトも必要となります。ユーザが問題を理解し、解決できるように手助けしてください。

プロアクティブなBYODセキュリティについては、まだまだ各種アイデアがあるかと思いますので、是非皆様のご感想をお聞かせいただければ幸いです。