「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質:ITmedia Security Week 2024 春 イベントレポート(2/2 ページ)
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
組織のデータを外部とどのように連携すればいいのか?
ここまではデータ流通経路をどのように制限するかを見てきた。しかしUSBメモリが使われる背景には「組織のデータを外部と連携したい」というニーズがある。では、これをどう実現すればいいのだろうか。須藤氏は幾つかの方法を提案する。
1つ目はデバイスの支給だ。会社が用意した端末を外部に使ってもらうというのは、方法としては簡単だが端末代や端末の管理費も発生する。外部委託メンバーが数百人、数千人に上る場合は、その分コスト負担が重くなる。
2つ目はサービス側の認証を強化するという方法だ。ID/パスワードだけでなく多要素認証(MFA)を強制する。ただしこの方法では、本人かどうかを判断する際には有効である一方で、外部ユーザーの環境が健全かどうか、不正をしていないかどうかといったことについては不明瞭になる。
3つ目は証明書や認証アプリを配布するという方法だ。証明書のインストールによって、管理外端末であっても会社が認めていることを示すことになるが、証明書を管理するコストもかかる。
須藤氏によると、最近はIDaaS同士を連携させて「トラスト」を確保するというアプローチがよく取られているという。「Okta」であれば、自社内で管理しているOktaでポリシーを評価し、外部者にも一貫したポリシーを提供できる。もう一つは「Microsoft Entra ID」(以下、Entra ID)を使ったB2Bクロステナントアクセスで、自社と外部のEntraIDを信頼関係によってつなぎこみ、認証を一つで済ませようというものだ。ただ当然ながら、これには管理者側での事前調整が必要になる。
セキュリティ教育は“問答無用”で受けさせよ
このように人に依存せずにデータ管理・連携のシステムや仕組みを構築したとしても、現場では必ずシステムや仕組み化されていない業務プロセスがあり、こうした固有の業務プロセスをきっかけに情報漏えいが発生するケースもよくある話だ。そして、このときに組織を守るセキュリティ対策のベースラインとなるのが“教育”だ。
須藤氏は「ここで言う“教育”とは『組織の人間として正しい判断ができるようにする』ことを指す。この教育は社長から一般従業員を含めた全従業員に“問答無用”で実施する必要がある。教育を実施する際には『どのような教育』を『どのような頻度』で実施したかをきちんとエビデンスとして残しておくのがお勧めだ」と説明する。
須藤氏によると、セキュリティ教育は新入社員や外部委託としてプロジェクトに新たに参画するメンバーに対し実施すると効果的だという。入社早期にセキュリティ研修などを実施することで「この会社はセキュリティが非常に強い」「セキュリティをすごく気にしている会社だな」という意識を芽生えさせられる。
一方で役員クラスがセキュリティ教育を受ければ、顧客に対して「当社はきちんとセキュリティに取り組んでいます」と胸を張って自社のことを説明できるようになる。
「企業の中には『当社はITリテラシーが低いためセキュリティの取り組みもうまくいかない』と悲観するところもある。しかしそもそもITやセキュリティはこれを使って成功した体験がなければリテラシーの向上は困難だ。リテラシーが低いからといったITやセキュリティを一律に禁止するのではなく『うまく、正しく使う』というモチベーションが大事だ」(須藤氏)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ランサムウェア渦中の「ニコニコ」に学ぶ“適切な広報対応”の重要性
「ニコニコ」関連のサービスで発生したランサムウェア被害が非常に大きな話題を集めています。今回は渦中のニコニコが出した12分の動画から“重すぎる現状”をまとめるとともに、インシデント中の広報対応の重要性を学びます。 - ドワンゴを狙ったサイバー攻撃はランサムウェアだと判明 復旧の見込みは?
ドワンゴは2024年6月8日に発生した「ニコニコ」を含むKADOKAWAグループで発生しているセキュリティインシデントがランサムウェア攻撃によるものであることを明らかにした。 - 結局、ランサムウェア身代金は支払った方がいいのか? 被害実態から見えた答え
日本国内においてランサムウェアの身代金支払いに関する議論が話題を集めている。ランサムウェア対策における身代金支払いの是非について有識者が見解を示した。 - NEXCO西日本、個人情報入りのUSBメモリの紛失を公表 発覚までの経緯は
NEXCO西日本は個人情報が保存されていた可能性があるUSBメモリを紛失したと発表した。紛失したUSBメモリは暗号化されていたが、同時にパスワードも貼り付けられていたという。