サイバー攻撃からソーシャルのリスクまで――情報資産を守るセキュリティ対策を考える：ITmedia エンタープライズ ソリューションセミナー レポート（2/4 ページ）

[ITmedia]

強靭なセキュリティ対策を目指すには

日本マイクロソフト チーフセキュリティアドバイサー 高橋正和氏

　東京会場の特別講演では日本マイクロソフトの高橋正和氏が、現在の企業のIT環境に即したセキュリティ対策を実現していくための方向性を紹介した。

　かつて企業のIT環境とセキュリティ対策は、原則として社内に閉じた環境でシステムが利用され、社内と社外のネットワークの「境界」に対策の比重が置かれていた。現在では多様なモバイルデバイスやクラウドサービス、ネットワークへの接続形態が登場し、オフィスの内外のあらゆる場所からITが利用されるようになった。高橋氏自身も10種類近いデバイスを持ち、日々オフィス内や外出先、自宅などから社内システムやクラウドサービスを活用して業務を行っているという。

　こうしたITの利用形態の変化に、「禁止」を前提とするセキュリティ対策方針を掲げ続ける企業は多い。だが、これでは実態に即した効果的なセキュリティ対策の実現は難しい。高橋氏は、既存の対策を生かしながらデバイス、ネットワーク、データ、認証の各レベルでセキュリティを確保し、統制と監視を組み合わせていくアプローチを提案した。

　例えば、デバイスレベルではウイルス対策やクライアントファイアウォールなどの基本をベースに、不正プログラムの実行を阻止する機能を備えた新しいOSやアプリケーションを利用する。デバイスの利用が特定用途に限られる場合なら、許可されたアプリケーションだけを動作させる「ホワイトリスト」も有効になってくる。

　ネットワークレベルの対策として、例えばMicrosoftではIPアドレスではなくデバイスをベースにしたアクセス制御を行っており、物理的なネットワークに依存しない仕組みを講じている。データレベルでは暗号化を行うディスクボリュームやファイルシステムといった方法やデータの利用形態に即したものを適用していく。

　高橋氏によれば、MicrosoftのIT部門では今後のセキュリティの脅威はデバイスやデータに向かい、セキュリティ対策の比重も高まっていく。相対的にネットワーク「境界」の比重が低下していくとのことだ。

個人向けクラウドの業務利用に備える

日本IBM 情報セキュリティ推進室 シニア・セキュリティ・アナリスト 守屋英一氏

　企業の新たなセキュリティ課題の1つに、個人向けクラウドサービスの業務利用が挙げられる。大阪会場の特別講演ではIBM社内のセキュリティレスポンスを担当する守屋英一氏が、こうした動向に対応していくためのポイントを解説した。

　多くの企業では過去にPCの持ち出しやUSBメモリなどの利用が禁止され、これらから情報が漏えいする危険性は低下した。しかし、モバイルデバイスやクラウドサービスの普及が進み、ITの利用スタイルが大きく変化した。情報を積極的に共有、活用する機運が高まり、オンラインストレージやWebメールといった個人向けサービスを業務にも利用する社員が増えている。企業にとっては、これらが情報漏えいの新たな温床になりかねないが、一方で利用する社員には業務の効率化などの目的があり、悪意は無い。このジレンマがセキュリティ対策の課題であり、米国では「Dropboxシンドローム」という流行語も生まれたほどだ。

　個人向けクラウドサービスの業務利用には、大きくIDやパスワードの使い回しが原因となる不正アクセスや、情報公開範囲の設定の不備、データのアップロードや所有における法的責任の不備といったリスクがある。サービスを業務で活用するなら、例えば、二段階認証の利用や情報共有範囲の制限、サービス規約の確認が不可欠だという。ただ、個人の意識に依存するところもあり、企業としては禁止ルールを設けざるを得ないのが世界的な動きになっているという。

　守屋氏によれば、IBMでもルールとしては原則禁止としているが、利用を希望する場合にはセキュリティ対策を適切に実施する同時に、情報漏えい防止のためのシステムやモニタリングツールによる管理と運用を常時行っている。万一の場合でも、実行性のある対応が取れる体制にしていくことが不可欠である。

　なお、将来的にはこうしたサービスが標的型サイバー攻撃に悪用されることも想定され、「例えば、攻撃者がオンラインストレージに不正ファイルを置き、知人になりすましたメールをサービス側から社員に送りつけてファイルを共有させ、マルウェアに感染させるかもしれない」（守屋氏）という。