IT資産管理について紹介する連載の第二回。今回は、特にセキュリティ面における要素について深く掘り下げて解説する。

日本ネットワークセキュリティ協会 セキュリティ被害調査ワーキンググループの調査によると、2013年の情報漏洩件数は約1,300件、想定賠償額は総額1,400億円にも上る。流出の形態は、破棄された書類からであったりメールの誤送信によるものなど様々である。だが特に注意が必要なものは、USBメモリやSDカード、そしてスマートフォンなどの「外部メディア」による持ち出しである。

2014年に世間を震撼させたベネッセの情報漏洩事件。約3,504万件とも言われる大規模な漏洩につながった最大の要因は、社内システムにつながった端末と外部メディアが接続できてしまったことだ。

*参考:特定非営利活動法人日本ネットワークセキュリティ協会による2013年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~(セキュリティ被害調査ワーキンググループ)

現在では、これらの接続を管理することもIT資産管理の重要な役目となっている。そこで今回は、情報漏洩対策として必須となる、外部メディアの接続管理について解説しよう

高まり続ける内部犯行による情報漏洩のリスク

ベネッセにおける情報漏洩事件が発覚して間もない2014年9月10日、「データベース・セキュリティ・コンソーシアム(DBSC)」から衝撃的な発表がなされた。データベース管理者1,000名にアンケート調査を実施した結果、「情報を売却するかも知れない」との回答をした人が全体の約1割にも上ったのだ。

近年報告されている情報漏洩事件の多くは、端末の紛失や誤送信など人為的なミスによるもので内部犯行によるものは少ない。しかしベネッセの例を見ても明らかなように、万が一にも発生した場合は膨大な件数が流出することになり、企業の存続すら脅かしかねない事態に陥ってしまう。そしてDBSCのアンケート結果は、このような事件が今後も十二分に起こりうることを諮詢しているとも言えるのだ。

*参考:データベース・セキュリティ・コンソーシアム(DBSC)~データベースのセキュリティ対策およひデータベース管理者の意識調査報告書を公開(2014年9月10日)

より身近に、より手軽になった外部メディアによって高まる情報漏洩リスク

CD-ROM、USBメモリ、SDカードなど、現在では手軽に持ち運べるサイズの外部メディアは無数に存在する。 さらに、近年普及が進んできたスマートフォンやタブレットなどのモバイル端末やデジタルカメラなども外部メディアの1種だ。しかし通常スマートフォン等は、PC接続時にUSBメモリやSDカードと異なる外部メディアとして認識される。そのためもし社内ネットワーク内の端末に、スマートフォンが何の制限もなく接続できてしまう状態であれば、それはセキュリティの観点から見ると非常に危険な状態と言わざるを得ない。山登りに例えるなら「命綱を使わずに断崖絶壁を登るようなもの」と言える。

最低限の利便性は確保した上で接続を制限する

純粋にセキュリティの効率だけを考えるのなら、USBポートを物理的に閉じてしまうなど、接続が不可能な状態にすることが望ましい。しかし、これらの外部メディアが全く使えなくなってしまうと、業務上支障がでることも多い。 そこで必要になるのが「外部メディアの利用制限」である。つまり全ての外部メディアの利用を禁止にするのではなく、 特定のメディアのみ、一定期間だけなどの利用条件を決めた上で外部メディアの利用を許可し、利便性を保つ。 例えば、『ヘルプデスクの部門のみ、◯日間USBメモリによるデータコピーを許可』、などだ。

勿論、これらの制限を加えても、管理者権限を持つ者であればメディアの種類は関係なく、データが持ち出せてしまう可能性もある。だからこそ、日頃からしっかりと操作ログの取得・監視を行い、セキュリティポリシーに違反するような行為があった場合には即座にそれを見つけ出す状態を保たねばならない。

適切なセキュリティポリシーの運用とツールの活用により外部メディアの接続管理

前述した通り、情報漏洩を防ぐためには、外部メディアの接続を制御することと、定期的な操作ログの取得が必要不可欠となる。これらは、例えば前回も登場したクオリティソフト社の「QND Advance」などのIT資産管理ツールを用いることで実現可能となる。

QND Advanceによる外部メディア制御

QND Advanceによるクライアント操作ログ取得

一般的なUSBメモリやSDカードはもちろん、スマートフォンやデジタルカメラなど、PC接続時の認識が異なる外部メディアについても制御が可能だ。またデータ転送にソフトウェアが利用されるようなiTunesなどの利用についても制限を加えることができる。これら複数の機能を駆使することで、情報漏洩のリスクをかなり抑えることが可能となるだろう。

しかし、どれだけ優秀なツールを採用しても、それを利用するポリシーが適切に運用されていなければ、宝の持ち腐れである。 ポリシーと権限の割当が適切かどうか、またそれがしっかりと運用されているかどうかを定期的に見直し、確認する。その上で、資産管理ツールを利用することが大切だ。

社内外の端末を一元管理できる
「フルスペック・クライアント管理製品QND」

社内外に存在するPCからスマートデバイスまで、企業の保有するクライアント端末を一元管理するツールです。資産管理機能に加え、外部メディア制御やクライアント操作ログ、不正PC検知、URL Filteringで実現する標的型攻撃の出口対策など、多様なセキュリティ統制も備えています。
さらには、正確なソフトウェアライセンス管理によるコンプライアンス遵守など、安全なクライアント管理に必要とされる機能を標準搭載しています。

⇒詳しくはこちらから

⇒IT資産管理の導入事例はこちら

[PR]