「使用禁止」のセキュリティ対策から卒業すべし、業務部門を納得させるには？：Maker's Voice

クラウドやモバイルの普及から便利アプリを仕事で使う機会が広がっているものの、企業では「危険」と禁止するケースも多い。パロアルトネットワークスの担当者は、「アプリの使われ方を『見える化』することが第一歩」と話す。

[國谷武史，ITmedia]

Palo Alto Networks プロダクトマーケティング シニアマネジャー クリス・キング氏

　クラウドサービスやモバイルデバイスの普及を受けて、コンシューマ向けアプリなどをビジネスで活用するシーンが広がっている。しかし、こうしたアプリは企業や組織での管理が難しく、情報漏えい防止などの観点から「使用禁止」といった対策が取られるケースが少なくない。つい最近も、Googleグループを使用していた政府省庁での対応が話題になったばかりだ。

　セキュリティ企業の米Palo Alto Networksでプロダクトマーケティング シニアマネジャーを務めるクリス・キング氏は、「新しい技術は常に良い面と悪しき面を抱える。そこでのセキュリティ対策は、電源をオン／オフするようなものではなく、『調光器』のようにバランスに配慮することが肝心だ」と話す。

　そこで同氏は、企業や組織でのアプリケーションの利用実態の可視化を勧める。これまでセキュリティ対策はデバイスに主眼が置かれてきたが、クラウドやモバイルの普及によってITの利用環境が抽象化されていくため、アプリケーションやそのユーザー、アプリケーションで利用されるコンテンツに主眼を置くべきだという。

　同社では「次世代ファイアウォール」製品でアプリケーションの可視化ソリューションを提供しており、今年上期には3056社の顧客企業での利用動向や分析結果をまとめたレポートも発表した。

　それによれば、企業が取るべきセキュリティ対策のポイントは（1）業務でのSNSの利用目的を確認、（2）ファイル共有はブロックし、FTPは集中的に監視、（3）動画系アプリケーションは生産性の観点から適宜QoSを適用――などとし、SSL通信はマルウェアの侵入経路などに悪用される可能性があることから、必要に応じて復号化と中身の検査といった点を挙げている。これらはアプリケーションの利用実態を可視化することで分かった、セキュリティ脅威の把握とアプリケーションの適切な利用のポイントになる。

　「例えば、業務部門の発言力が大きな組織なら、IT部門はまずアプリケーションの利用実態を把握し、ネットワークへ負担がどうなっているか、マルウェア侵入などのリスクがどうなっているかを可視化する。その情報を業務部門に説明して理解を促し、適切に利用してもらうためのポリシーを整備していくべきだろう」（キング氏）

　同氏は、新しいテクノロジーがユーザーに変革と選択肢を提供するものであり、それを妨げるべきではないと主張する。その一方で新しいテクノロジーにはリスクも付きまとうだけに、「管理するにも、まずは実態把握に努めてほしい」とアドバイスしている。