「セキュリティ強化でPCの持ち出し復活を」とチェック・ポイント

情報漏えいを懸念してPCの持ち出しを禁止する企業は多いが、社内と同レベルのセキュリティ対策を適用することで、持ち出しが可能になるとチェック・ポイントは説明する。

[國谷武史，ITmedia]

小高氏

　近年は紛失や盗難などに伴う情報漏えいを懸念して、PCの社外持ち出しを禁止している企業が多い。PCの持ち出しができれば外出先でも業務ができるため、生産性の改善が期待させるが、万が一のトラブルによって被るリスクを心配する声は根強い。

　チェック・ポイント・ソフトウェア・テクノロジーズでデータ保護製品などを手掛ける小高克明マネジャーは、「日本ネットワークセキュリティ協会などの情報漏えい研究をみても、実際には紙文書やUSBメモリなどが原因になるケースが多い。PCの持ち出し禁止が解決策になるわけではない」と話す。

　企業によっては、持ち出し禁止策の代替手段として持ち出し専用のPCを用意しているところもある。しかし、社内用PCとは別にPCを購入するといった直接的なコストに加え、持ち出し用PCの管理やPCへ格納するデータ自体への保護をどうすべきか、という運用面でのコストや課題も存在する。

　小高氏は、PCの利用形態を企業の内外で切り分けるよりも、持ち出すことを前提に企業の内外で共通して適用できるセキュリティ対策の導入が、こうした課題を解決すると説明する。

　PCの持ち出しをできるようにするには、PC本体だけではなく、PCに接続する周辺機器も含めたエンドポイント全体にセキュリティ対策を適用すべきだという。同氏の指すエンドポイントには、リムーバブルメディアや無線LAN、Bluetoothなどの通信ポート、スマートフォンやポータブルメディアプレーヤーなどの個人用デバイスも含まれるとしている。

　エンドポイントに適用すべき具体的なセキュリティ対策には、マルウェア防御とデータ暗号化、ポート制御、VPN接続、ネットワーク検疫などがあるという。特にデータ暗号化とポート制御は、PCを持ち出す際に必須の対策であり、暗号化はPCのHDDやリムーバブルメディア全体に適用することで、データの悪用を防ぐ。ポート制御は不必要なデータの転送を防止するもので、管理者が認めていない通信経路やデバイスへの接続を遮断する。

　また、PCを持ち出した際にはインターネットなどを経由して社内システムにアクセスする機会も多い。小高氏は、IPSec VPNとネットワーク検疫の併用が望ましいとしつつ、可能な範囲でリモートアクセス時のセキュリティ対策を段階的に強化していくべきとアドバイスする。

　「エンドポイントの対策では、社内と同等のセキュリティレベルを実現することが理想的。しかし、対策範囲が広がれば運用面の負担が増えることも懸念されるので、製品面での改善を進めている」（同氏）

　エンドポイントの管理に対する同社の取り組みでは、管理コンソールの統合化が代表的だという。ファイアウォールやUTM（統合脅威管理）、VPNなどのネットワークセキュリティ管理は一元的にできるようになっているが、今後はエンドポイントに対する暗号化や検疫などの管理も統合していく計画だ。

　小高氏はまた、広範なセキュリティ製品の管理を統合化することでコスト削減のメリットも得られると話す。「対策を個々に導入すれば、検証や展開に伴うコストは大きくなる。統合化された対策であればこうした負担は少ない」（同氏）

　同社では、エンドポイントを含めた情報漏えい対策の拡充も視野に入れているといい、「DLP」（Data Loss Prevention）と呼ばれる漏えい対策技術の開発も進めている。

　「セキュリティ対策を統合化していくメリットは大きく、ネットワークとエンドポイントの両面でこうした取り組みを推進したい」と小高氏は話している。

過去のセキュリティニュース一覧はこちら