今、多くの企業のモバイル環境で採用されている従来型の情報漏えい対策は、もはや時代遅れとなってしまっていることが少なくない。なぜならば、そうした対策では、モバイルデバイス経由で移動(送付や転送)するデータをまったく管理できていないからだ。現在のモバイルセキュリティに求められているのは、これまでのように外部との境界線を保護するセキュリティ対策ではなく、「情報自体を守る」というアプローチなのである。

7月11日~13日の3日間にわたって開催された「ガートナー セキュリティ&リスク・マネジメント サミット 2016」では、ガートナー リサーチのバイス プレジデント 兼 最上級アナリスト、ジョン・ジラール氏が登壇。「情報中心のモバイル・セキュリティ:漏洩のないデータ移動」と題し、情報中心のモバイルセキュリティとはどのようなものか、またそれによって得られる成果や、モバイルデバイスのリスク軽減方法について解説した。

境界型セキュリティ対策では不十分な理由

ガートナー リサーチのバイス プレジデント 兼 最上級アナリスト、ジョン・ジラール氏

ガートナー リサーチのバイス プレジデント 兼 最上級アナリスト、ジョン・ジラール氏

講演タイトルにも冠された「『情報中心』のモバイルセキュリティ」とは一体どのようなものなのか。ジラール氏はこれを「データ保護」という一言で言い表した。

「なぜ、『情報セキュリティ=データ保護』と言われるのかを考えてみてください。銀行であれ、小売業であれ、医療機関であれ、セキュリティ侵害事件には必ずデータの窃取が伴っているのです」とジラール氏は説く。それは、「ハッカーが確実に収益を得られるのが、データの窃取だから」だという。

かつてモバイルデータの保護は、内部記憶デバイスの暗号化で良しとされていた。だが、今はそれだけではとても十分ではない。例えば、パスワードなどで保護されているにもかかわらず、脆弱な状態にあるクラウドアカウントの数は、世界で数千万件にも及ぶという。

氏によれば、企業内で使われているクラウドアプリの数は、平均して400個程度となっているが、そのうちIT部門が把握できているのは45%に過ぎない。さらに、厳格な機密保護策が適用されていないクラウドデータの割合は、実に69%にも達しているのだ。これでは、どんなに内部記憶デバイスを守ったとしても、データが盗まれてしまう可能性はいくらでもある。

また、モバイルデータの場合、いくら外部との境界線を保護してもデータの漏えいは阻止できない。ファイアウォールやVPN、IPSなどが設置されていても、ユーザーが自発的に誰かにファイルを送ろうとしたら、その時点で無意味になってしまうからだ。

そこで重要になってくるのが、モバイルデータ保護のためにいかに柔軟な戦略を採用するかである。例えば、情報にアクセスする際には、まずキーとなるサーバに問い合わせて初めて認証が得られるような仕組みが考えられるだろう。

ジラール氏は、「過去15年以上、モバイルデバイスの情報保護の主流は内部ディスクの暗号化でした。しかしそれだけでは、もはやデータの漏えいを阻止できないことを理解していただきたい。たとえ暗号化されたマシンであっても、それをブートした時点で暗号化されていないのと同じになります。だからこそ、OSにもユーザーにもハードウェアにも依存しない、情報中心の保護が必要になっているのです」と強調した。

>> 情報をリスクに晒す「4つの誤解」 とは?