場合によってはインターネットが無ければまったく仕事にならない職場もあるだろうが、ビジネスにおけるインターネットの役割は、広範な情報収集を行えることだ。仕事のPCにブラウザが配置してあるのはそのためだ。しかし、よくよく注意しないと大惨事になる場合もあることをSophosのnaked securityが伝えている。
米国政府の元職員が職場で閲覧し続けたのはポルノページで、これが原因となり米地質調査所(USGS)のネットワークを感染させてしまったのだという。職員は9,000件ものマルウェア感染ポルノページを職場支給のPCで閲覧していたという。その後、許可されていないUSBドライブと私用のAndroidスマートフォンに画像を保存したために、感染につながっており、この職員はもはや退社しているそうだ。
US Department of the Interior(米国政府内務省)の監察官は10月17日、この事件についてメモを発表しているが、監察官によると、犯罪学調査によりこの従業員はポルノサイト閲覧の「広範な歴史」があることがわかったのだという。この人物が訪問した9,000件のサイトの多くが、ロシアを拠点とし、マルウェアを含むWebサイトにルーティングされていたというこの人物が画像を保存したAndroidスマートフォンとUSBドライブもマルウェアに感染。マルウェアはコンピュータにダメージを与えたり無効化するのに使われたという。
当然、米内務省では、従業員が自分たちのシステムの上で「違法、あるいは不適切な行動」をすることを明確に禁じており、USBドライブや私用スマートフォンなどの個人用デバイスを政府支給のコンピュータやネットワークに接続することも禁じている。従業員がUSBドライブでプラグインするという行為について、監察官はUSGSに対し、許可されていないUSBドライブの使用を禁じるポリシーを設定することを推奨しており、「マルウェアインシデントからの保護に当たってのベストプラクティスは、取り外し可能なメディア、個人が所有するモバイルデバイスの使用を制限することだ」と記してある。
naked securityに寄稿しているLisa Vaas氏はIBMが5月に実施した許可されている・いないに関係なくあらゆる種類の取り外し可能な記憶媒体の使用を禁止するという動きに言及し、ながらもとはいえ、簡単に徹底できるものではない。人はやりたいと思ったら、簡単に抜け道を見出す。その抜け道が、さらに危険なものになる可能性もある。この場合、USBデバイスのアクセスを管理する方が良いだろうと以下のアドバイスを行っている。
・USBデバイスの暗号化。面倒な作業ではあるが、いつも暗号化する癖をつけておけば、ファイルを紛失してしまった時も慌てずに済む。
・簡単に使える代替策を用意する。USBストレージを使わないで欲しいのなら、ユーザーが使いたくなるようなクラウドベースのソリューションを用意すべきだ。
・従業員にリスクについて説明する。USBを禁止してもデータ漏洩の対策にはならない。クラウドにコピーしたデータだってどこかに行ってしまうことはあり得る。従業員がセキュリティのリスクを知り、配慮できるほうが重要だ。
・ログをチェックする。USBを使うのか、クラウドか、あるいはその両方か、いずれにしても、ログを確認して誰がどんな情報をどこに置いているのかをみておくこと。ログを見るつもりがないなら、ログを収集する意味はない。目的がないデータを集めることほど馬鹿らしいことはない。
