「USBメモリの全面禁止」って有効な対策なの？ あどみんが指摘する問題の本質：ITmedia Security Week 2024 春 イベントレポート（2/2 ページ）

[吉田育代，ITmedia]

組織のデータを外部とどのように連携すればいいのか？

　ここまではデータ流通経路をどのように制限するかを見てきた。しかしUSBメモリが使われる背景には「組織のデータを外部と連携したい」というニーズがある。では、これをどう実現すればいいのだろうか。須藤氏は幾つかの方法を提案する。

　1つ目はデバイスの支給だ。会社が用意した端末を外部に使ってもらうというのは、方法としては簡単だが端末代や端末の管理費も発生する。外部委託メンバーが数百人、数千人に上る場合は、その分コスト負担が重くなる。

　2つ目はサービス側の認証を強化するという方法だ。ID／パスワードだけでなく多要素認証（MFA）を強制する。ただしこの方法では、本人かどうかを判断する際には有効である一方で、外部ユーザーの環境が健全かどうか、不正をしていないかどうかといったことについては不明瞭になる。

　3つ目は証明書や認証アプリを配布するという方法だ。証明書のインストールによって、管理外端末であっても会社が認めていることを示すことになるが、証明書を管理するコストもかかる。

　須藤氏によると、最近はIDaaS同士を連携させて「トラスト」を確保するというアプローチがよく取られているという。「Okta」であれば、自社内で管理しているOktaでポリシーを評価し、外部者にも一貫したポリシーを提供できる。もう一つは「Microsoft Entra ID」（以下、Entra ID）を使ったB2Bクロステナントアクセスで、自社と外部のEntraIDを信頼関係によってつなぎこみ、認証を一つで済ませようというものだ。ただ当然ながら、これには管理者側での事前調整が必要になる。

IDaaS同士を連携させて信頼を結べば外部データの連携も安全に実施できる（出典：須藤氏の講演資料）

セキュリティ教育は“問答無用”で受けさせよ

　このように人に依存せずにデータ管理・連携のシステムや仕組みを構築したとしても、現場では必ずシステムや仕組み化されていない業務プロセスがあり、こうした固有の業務プロセスをきっかけに情報漏えいが発生するケースもよくある話だ。そして、このときに組織を守るセキュリティ対策のベースラインとなるのが“教育”だ。

　須藤氏は「ここで言う“教育”とは『組織の人間として正しい判断ができるようにする』ことを指す。この教育は社長から一般従業員を含めた全従業員に“問答無用”で実施する必要がある。教育を実施する際には『どのような教育』を『どのような頻度』で実施したかをきちんとエビデンスとして残しておくのがお勧めだ」と説明する。

　須藤氏によると、セキュリティ教育は新入社員や外部委託としてプロジェクトに新たに参画するメンバーに対し実施すると効果的だという。入社早期にセキュリティ研修などを実施することで「この会社はセキュリティが非常に強い」「セキュリティをすごく気にしている会社だな」という意識を芽生えさせられる。

　一方で役員クラスがセキュリティ教育を受ければ、顧客に対して「当社はきちんとセキュリティに取り組んでいます」と胸を張って自社のことを説明できるようになる。

教育は組織の資産に接する機会がある全員に“問答無用”で受けさせる（出典：須藤氏の講演資料）

　「企業の中には『当社はITリテラシーが低いためセキュリティの取り組みもうまくいかない』と悲観するところもある。しかしそもそもITやセキュリティはこれを使って成功した体験がなければリテラシーの向上は困難だ。リテラシーが低いからといったITやセキュリティを一律に禁止するのではなく『うまく、正しく使う』というモチベーションが大事だ」（須藤氏）