USBメモリに機密情報を入れるのは“悪”なのか? 「使わざるを得ない」企業が採るべきセキュリティ対策:「Security Week 2022 秋」開催レポート(2/2 ページ)
USBメモリ紛失による情報漏えいが相次いで報道され、データ管理の在り方を見直す機運が高まっている。取引先企業の都合などによってUSBメモリを使わざるを得ない企業はどのような対策を採るべきだろうか。
データの経路特定が困難な場合の対応方法
データの経路の特定が難しい、機微情報が分散しやすい状況の場合は「Druva」というバックアップサービスを利用するのも一つの手だ。Druvaはバックアップしたデータを一括管理できるのが特徴だ。「特に著作権や研究データ、版権や特許などを保有する会社がDruvaを利用している」と須藤氏は言う。
特定のデータがどこのデバイスにあるのか、誰のアカウントでどういう状態で保存されているのかといった情報を全て記録できるのがDruvaのメリットだ。管理者はデータを一元的に監視できる。例えば、あるデータを慎重に扱う必要が出た場合、管理者がボタンを押すだけで該当データが含まれるファイルへのアクセスを禁止できる。データ自体は保存したまま、アクセスのみを禁止するわけだ。
また、インターネットに長期間つながっていないデバイスのデータを削除する「時限削除」機能も搭載している。これによって紛失などの理由で管理されていないデバイスのデータを削除できる。
どのような形でデータ統制を行うかは、「会社や組織の働き方によって変わるのではないか」と須藤氏は言う。外部との適切なファイルのやりとりの在り方も、自組織と外部がどのような手段で受け渡しをしているかによって大きく変わる。
電子メールの経路を見てみよう。添付ファイル付きの電子メールは外部に送信した時点で管理外になってしまう。データを管理下のクラウドストレージで制御するためのサービスが「mxHERO」である。mxHEROを利用することで、制御配下に置いた状態でデータを相手に送るためのアプローチができるようになる。
クラウドサービスにログインする際には、「OAuth連携」が利用されていることが多い。OAuthの連携自体は管理者が制限できるが、「サービス事業者がデータを漏えいしてしまうケースもまれにある」と須藤氏は話す。その際、「BYOK」(Bring Your Own Key)を利用することで、データ事業者であっても、データの中身が見られない状態を作れる。サービスを選定する際は「BYOKが利用できるかどうかもぜひ確認してほしい」と須藤氏はアドバイスする。
できる限りシンプルな設計を目指すことが重要
セキュリティ全体の設計としては、「できる限りシンプルな形を目指すのが理想的」と須藤氏は言う。企業を狙うサイバー攻撃に「終わり」はなく、社会環境の変化に伴って業務や働き方の改善は必ず起こり得る。
これらに適宜対応するには「見通しの良い環境を作ることが大切だ。適切な判断をするためには、ガバナンスが正常に機能していることが欠かせない」と須藤氏は強調する。
「USBメモリやVPN自体は決して悪いものではない。そこだけにフォーカスして話を進めるのはあまりよくない」と須藤氏は言う。組織はそれぞれ固有の事情を抱えている。USBメモリやVPNを利用することで多くの顧客にサービスを提供できる側面もあるだろう。
まずは自分たちの組織にとって何のデータが重要で、それがどこにあるのか、誰にどう使われているのかを把握する必要がある。最後に須藤氏は「IT統制は自組織の状況に合わせて進めていくべきだ」と強調した。
他の「Security Week 2022 秋」開催レポートはこちら
関連記事
- 尼崎市のUSBメモリ紛失事件 “アンチパターン盛り合わせ”から学べること
兵庫県尼崎市でUSBメモリ紛失のインシデントが発生し、大きな話題を集めました。インシデント自体も問題ですが、記者会見の場でパスワードの詳細が漏れてしまうなどセキュリティ管理の甘さが取り沙汰されています。ここからどのような教訓が得られるのでしょうか。 - クラウドストライクがセキュリティ新製品をリリース 「人手もコストも割けない」小規模企業の課題解決を図る
大企業だけでなく小規模企業が脅威にさらされるようになった現在、サイバーセキュリティの在り方も変わりつつある。重要インフラシステムの攻撃に対する脆弱(ぜいじゃく)さも引き続き課題となっている。クラウドストライクはこうした状況にいかに対応するのか。同社が発表する新製品を見ていこう。 - Microsoft Azureで「マルチドメインMDM」が利用可能に Power BIでガバナンス管理強化
インフォマティカは、Microsoft Azureで利用できるマルチドメイン対応のMDM「Multidomain Master Data Management-as-a-Service」を発表した。複数ドメインにまたがるデータの取り込みから活用までの情報サプライチェーン全体にわたるマスターデータ管理をAzureで実現する。 - 河野大臣"フロッピー行政"にあぜん、「アナログ規制」法令1900条項を全廃へ
河野デジタル大臣が記者会見で「デジタル改革のスピードアップ」のための方策について語った。その中で、フロッピーディスクのような記録媒体を行政機関への提出形式として指定するような「アナログ規制」の見直しに触れた。1900に上る法令の見直しをどのように進めるのか。
Copyright © ITmedia, Inc. All Rights Reserved.