USBメモリに機密情報を入れるのは“悪”なのか？ 「使わざるを得ない」企業が採るべきセキュリティ対策：「Security Week 2022 秋」開催レポート（2/2 ページ）

[ITmedia]

データの経路特定が困難な場合の対応方法

　データの経路の特定が難しい、機微情報が分散しやすい状況の場合は「Druva」というバックアップサービスを利用するのも一つの手だ。Druvaはバックアップしたデータを一括管理できるのが特徴だ。「特に著作権や研究データ、版権や特許などを保有する会社がDruvaを利用している」と須藤氏は言う。

　特定のデータがどこのデバイスにあるのか、誰のアカウントでどういう状態で保存されているのかといった情報を全て記録できるのがDruvaのメリットだ。管理者はデータを一元的に監視できる。例えば、あるデータを慎重に扱う必要が出た場合、管理者がボタンを押すだけで該当データが含まれるファイルへのアクセスを禁止できる。データ自体は保存したまま、アクセスのみを禁止するわけだ。

　また、インターネットに長期間つながっていないデバイスのデータを削除する「時限削除」機能も搭載している。これによって紛失などの理由で管理されていないデバイスのデータを削除できる。

　どのような形でデータ統制を行うかは、「会社や組織の働き方によって変わるのではないか」と須藤氏は言う。外部との適切なファイルのやりとりの在り方も、自組織と外部がどのような手段で受け渡しをしているかによって大きく変わる。

　電子メールの経路を見てみよう。添付ファイル付きの電子メールは外部に送信した時点で管理外になってしまう。データを管理下のクラウドストレージで制御するためのサービスが「mxHERO」である。mxHEROを利用することで、制御配下に置いた状態でデータを相手に送るためのアプローチができるようになる。

　クラウドサービスにログインする際には、「OAuth連携」が利用されていることが多い。OAuthの連携自体は管理者が制限できるが、「サービス事業者がデータを漏えいしてしまうケースもまれにある」と須藤氏は話す。その際、「BYOK」（Bring Your Own Key）を利用することで、データ事業者であっても、データの中身が見られない状態を作れる。サービスを選定する際は「BYOKが利用できるかどうかもぜひ確認してほしい」と須藤氏はアドバイスする。

クラウドサービスの経路（出典：須藤氏の講演資料）

できる限りシンプルな設計を目指すことが重要

　セキュリティ全体の設計としては、「できる限りシンプルな形を目指すのが理想的」と須藤氏は言う。企業を狙うサイバー攻撃に「終わり」はなく、社会環境の変化に伴って業務や働き方の改善は必ず起こり得る。

　これらに適宜対応するには「見通しの良い環境を作ることが大切だ。適切な判断をするためには、ガバナンスが正常に機能していることが欠かせない」と須藤氏は強調する。

シンプルを目指そう（出典：須藤氏の講演資料）

　「USBメモリやVPN自体は決して悪いものではない。そこだけにフォーカスして話を進めるのはあまりよくない」と須藤氏は言う。組織はそれぞれ固有の事情を抱えている。USBメモリやVPNを利用することで多くの顧客にサービスを提供できる側面もあるだろう。

　まずは自分たちの組織にとって何のデータが重要で、それがどこにあるのか、誰にどう使われているのかを把握する必要がある。最後に須藤氏は「IT統制は自組織の状況に合わせて進めていくべきだ」と強調した。

他の「Security Week 2022 秋」開催レポートはこちら

サイバー攻撃に強いのは組織力か、技術力か　「PPT」のフレームワークで考える