分析と対策 情報セキュリティ脅威 6 つの落とし穴 2014.8.15 明らかだけれども見落としがちな 6 つの情報セキュリティ脅威 最近では、データ・セキュリティ上の侵害、盗難、従業員による盗難、インサイダー脅威、従業員の 不正行為あるいは企業のスパイ活動といったニュースを聞かない日はありません。 情報メディア(記録メディアと通信メディア)の利用は、生産性の向上に用いられており、経営目標 にマッチしています。しかし情報メディアは、企業からのデータの持ち出しを簡単に許す手段ともな りえます。 このホワイトペーパーでは、従業員がデータを盗難するのに使用したローカルでの方法 3 つとオン ラインでの方法 3 つについてそれぞれ検討します。これからの展望という観点から、記録メディア あるいは通信メディアによるデータの盗難を阻止するには何ができるか、また現状はどうかを見て いきましょう。 最も分かりやすい情報メディアから始め、それからさらに他の情報メディアに順に言及していきま す。 1. リムーバブル・ストレージ USB デバイスおよび(最近使われなくなってきましたが)書き込み可能な CD および DVD ドライブは、 長い間一般的に用いられている記憶装置であり、データ交換手段です。 脅威 これらの記録メディアへのデータの不正コピーは簡単です。USB ドライブの場合はより簡単でしょ うが、どちらも十分に容易です。2014 年の 7 月に、オレゴンヘルス&サイエンス大学の職員の自宅 から、書類カバン内にあった USB ドライブが盗まれました。この USB ドライブには 14,000 件以上 の情報が記録されていました。この事件では、職員はデータを盗んではいません。しかし患者の 情報が職員の知らないうちに手元から盗まれるのがいかに容易だったかは特筆すべきことです。 分析と対策 情報セキュリティ脅威 6 つの落とし穴 1 悪意のある者が、図 1 に示されるようなデバイスを用いれば、たとえ最も厳重な管理下にある職場 であっても、データが簡単に持ち出されてしまうことは容易に想像できます。 図 1: 8 ギガバイト USB “ウォッチ” どのように防ぎますか? • デバイスを読み取り専用にする。問題はデータの窃盗であるので、USB ドライブおよび CD/DVD のアクセス許可を読み取りのみに設定することは、およそ適切といえます。この設 定はウィンドウズのグループ・ポリシーで行うことができます。ただし、読み取り専用とした場 合でも、これら記録メディアに悪意のあるコードが寄生していれば、侵入される可能性がある ことを忘れないでください。悪意のあるコードはキーロガーやネットワークアクセスを奪取する プログラムなどをインストールする際に使用されます。 • 可能なら、無効にする。これらのデバイスへのアクセスが、従業員の仕事に必要でない場合、 デバイスを無効にするべきです。 現状 これらはデータ漏洩の観点から見ると「一番低い場所にぶら下がっている果実(容易に獲得できる もの)」です。データをコピーするために最小限の努力や最低限の技術的なノウハウしか必要とし ないため、「一番低い場所にぶら下がっている果実」と見なすべきなのです。もしビジネスを真剣に 守りたいのであれば、これらのデバイスはまず真っ先にロックするべきです。まだロックしていない のであれば、想像以上に早くデータは持ち去られてしまうことでしょう。 分析と対策 情報セキュリティ脅威 6 つの落とし穴 2 プリンター 2. 会社で盗みを行っている従業員の存在に気づいた建設会社についてよく知られた話があります。 会社は、出口を通るすべての従業員をチェックするようにセキュリティに依頼しました。毎晩、ジョ ーが個人的な持ち物や弁当箱でいっぱいの手押し車を携えて、ゲートまで歩いてきます。セキュリ ティはそれをチェックし、彼を通過させます。毎日この決まりごとは繰り返されることでしょう…ジョ ーが手押し車を盗んでいると会社が気づくまで。 印刷書類は現代ビジネスの「手押し車」です。会社は毎年、データ、アプリケーション、ネットワーク、 USB ドライブ、書き込み可能な CD ドライブなどを保護するために、何十万とまではゆかなくても何 万ドルもの経費を費やしています。しかしアキレウスのかかと―プリント・コマンドによって壊滅さ せられます。 脅威 印刷機能はどのアプリケーションでも当然に用いられる機能で、データをアプリケーションから引 き出す、最も簡単な方法の一つです。誰かが顧客データのコピーを印刷するのを阻止するにはど うしたらいいでしょうか。CRM アプリで印刷機能は無効にしているという声もあるかもしれません。 それでは、ワードやエクセルにコピーアンドペーストをして、そこから印刷するとしたらどうでしょう。 米国で最大規模の病院の元 CTO の事例を紹介します。彼の最も大きな心配事は一回のキースト ローク ― プリント・スクリーン ― でした。医療記録管理アプリケーションで使用された時、一回 キーを叩いただけで、データは病院から漏洩し、HIPAA(医療保険の相互運用性と説明責任に関 する法律)に準拠した十分に定義された防壁を乗り越え、病院外に持ち去られています。 どのように防ぎますか? 印刷をよりセキュアにできるいくつかの方法があります。 • セキュアなプリンター・アクセス ほとんど全てのネットワーク・プラットフォームは、印刷まわりのセキュリティを確立する機能を持っ ています。印刷できる人、印刷できる時刻などを制限することができます。 • プリント監査を有効にする ウィンドウズは、印刷ジョブの監査ログを構築する機能をサポートしています。これにより何が印 刷されたか、記録を取ることができます。 • プリント・スクリーン・キーを無効にする ウィンドウズでは、レジストリエントリでキーを無効にすることができます。 分析と対策 情報セキュリティ脅威 6 つの落とし穴 3 現状 たとえプリンターをロックしても、機密データとプリンターへのアクセス権を持ったユーザーは、依 然としてプリンターを利用してデータを持ち出すことがきます。さらに何が印刷されたか正確に分 かる方法がないという事実も加わります。せいぜい、何かが特定のアプリケーションから印刷され たという記録が取れるだけです。上記のステップを踏まない他の印刷方法もあります。 • 自宅のプリンターで印刷する―仕事中、ノート PC を持っていれば、自宅のプリンターに紐付 けられたハードディスク上の印刷キューに印刷し、その後、ホーム・ネットワークに接続すれ ば、ドキュメントを印刷することができます。 • PDF に印刷する―また PDF プリント・ドライバを持っていれば、実際の印刷を経ずに、PDF に 直接、印刷することができます。 • 直接印刷する―またほとんどのプリンターは、ネットワーク上の直接の接続をサポートし、適 所に置かれたどんなセキュリティも回避してしまいます。 ワイヤレス&ブルートゥース 3. 今日すべてのノート PC、ネットブックおよびウルトラブックには(一部の新しいデスクトップにも)ワイ ヤレス機能がついています。またそれらのほとんど全てが、ブルートゥースもサポートしています。 これらの 2 つの通信メディアは、デバイスとネットワークへのアクセスを容易にし、生産性を向上さ せます。 脅威 従業員が会社のワイヤレス・ネットワークや会社に承認されたデバイスに接続される限り、データ は安全です。一旦企業ネットワークから離れて、またはブルートゥースを通して承認されていない デバイスに接続されると、データは容易に盗難されます。したがって、いくつかのシナリオが存在し ます: • 外部のワイヤレス・ネットワーク―従業員がシステムよってフィルターされたセキュアな環境 下で働いている場合、データは盗難されないと感じるものです。しかし、従業員が別のネット ワーク(従業員のホーム・ネットワークを含む)への接続を認められれば、どこに行き、何を行 うかについて自由な裁量権を持つことになります。 • ブルートゥース経由のコピー―これはセキュリティの観点から最も見落とされた通信メディア のうちの 1 つです。従業員はノート PC に自分のブルートゥース・スマートフォン(ローカル・スト レージを完備している)を接続し、データをコピーし、ブルートゥース接続を削除することで、接 続の痕跡を残さないように操作できます。ブルートゥースの最大の通信範囲は、100 メートル です。誰かが従業員のノート PC と、例えば、建物の外側のスマートフォンを接続し、データを コピーし、接続を削除することも考えられます。 分析と対策 情報セキュリティ脅威 6 つの落とし穴 4 どのように防ぎますか? リムーバブル・ストレージ(USB と書き込み可能な CD ドライブ)の例のように、2 つのオプションが あります: • 設定変更を制限する―新しいコネクションを加える権限を制限する、または承認された通信 メディアを通してのみアクセス許可をする方策は、ワイヤレス・ネットワークまたはブルートゥ ース経由のデータ・ロスの危険を軽減します。ウィンドウズは、集中管理により設定を配布す るための(グループ・ポリシー設定のような)メカニズムを持っています。 • 可能な場合、無効にする―ブルートゥースが必要でない場合、機能を無効にできます。ワイ ヤレス機能が必要でない場合、これも無効にできます。 現状 従業員が彼らのホーム・ネットワークに接続することができないようにワイヤレス機能をロックして いる会社は稀です。そのためワイヤレス機能はセキュリティの大きな間隙として存在しています。 ブルートゥースは恐らく最も危険な通信メディアのままになっています。しかし、動作させるには、 あるノウハウが要求されます。 4. ウェブメール 今日ウェブ・ベースの E メール・クライアントを持たない、E メール・プラットフォームや ISP はありま せん。Gmail とヤフーウェブメール以外にも多数のウェブメールがあり、これら 2 つに注意するだけ では不十分です。ウェブメールは強力で容易にアクセスできる共有メディアで、データを添付し、素 早く送信することができます。 脅威 明白な脅威は機密ファイルの E メールへの添付です。ウェブメール・ベースの E メールに 8 つのエ クセル・ファイルを添付して、自分宛と別のフリーメール・ドメイン・アカウント宛へ送った従業員の 話が最近ありました。たったこれだけで、データは持ち去られます。 ウェブメール経由で共有されたデータに関するもう一つの重要例は、最近のペトレイアス将軍のス キャンダルです。ペトレイアス将軍はテロリストが採った手法を用いて、痕跡を残さずに通信を送り ました。ドラフト・フォルダに未送信のメッセージを置いて、意図した受取人に同じウェブメール・ア カウントにログインさせ、ドラフト・メッセージを読ませます。受取人に「返信」を作成させ、ドラフト・ フォルダに残させます。さて、ペトレイアス将軍のケースは、ロマンティックな性質のものであったよ うです。しかし、不正な目的に用いられた場合の危険性を見て取れるでしょう。 分析と対策 情報セキュリティ脅威 6 つの落とし穴 5 あまり言及されていない主要な脅威の 1 つとして、Web メールのクライアントによるセッションの暗 号化をあげることができます。ファイアーウォールまたは Web フィルターを有するあらゆる企業で は、Web メールのドメインを誰かが利用したことは把握できます。しかしどのようなメールが作成さ れ、何が添付されているか、外部に何が送信されたかについては、知りようがないということで す。 どのように防ぎますか? 難しい問題です。思いつくすべての Web メールの URL を Web フィルターでブロックすることもでき ますが、間違いなくかなりの数の見落としが発生するため、決して効果的ではありません。 現状 世界中ですべての ISP をブロックしない限り、Web メールの脅威を完全にブロックする事はできま せん。 5. クラウドベースのファイルシェアリング 数多くの Web 2.0 ツールが利用できるようになり、Web に極めて精通していて、高いスキルを有す る若い従業員は、IT 部門がユーザーや従業員の要求についていけないことも多い一方で、しばし ば Web 上で発見できる無料のサービスを使用することで、自らの問題を解決するようになりつつ あります。クラウドベースのファイル共有も例外ではなく、Google Drive、Dropbox、JungleDisk and Box のようなサービスが急速に使用されるようになっています。これらのサービスはビジネスにお いて不可欠となっていますが、セキュリティ戦略においては大きな穴が空いたままです。 脅威 最近のニュース記事では、これらのサービスによるセキュリティのリスクが報じられています: オンラインゲーム Cityville で成功を収めている Zynga のゼネラルマネージャーが、ゲームに関する 数多くの会社の資産をコピーして、また、会社のパソコンから Dropbox のアカウントに E メールのバ ックアップをとりました。これは同氏が Zynga を退職する直前のことであり、同氏はその後、競合他 社の Kixeye で働くようになりました。 この記事を、自分の会社と、顧客の記録、知的財産、売上データ、財務データなど、要するに会社 分析と対策 情報セキュリティ脅威 6 つの落とし穴 6 のあらゆる機密データにアクセスできる従業員に当てはめて考えてみて下さい。いかに危険なこ とであるかがわかり始めるはずです。 クラウドベースのサービスの使用に関する最近の調査では、ショッキングな統計結果が明らかに なっています。クラウドのコストマネジメントサービスのプロバイダである Cloudability によると、従 業員 1 人が保有しているクラウドのアカウントの平均数は 2.5 です。これは、1 人の従業員につき、 企業の IT 部門が 2.5 のサービスについて何も把握しておらず、2.5 のアカウントを管理できておら ず、2.5 のセキュリティホールが存在するということです。 どのように防ぎますか? 2 つの選択肢があります。どちらもいささか極端です: • クラウドベースのファイルシェアリングのブロック-サーバーと Web サイトをブロックすることで、 多くの場合比較的簡単に実現できます。しかし、そもそも従業員がなぜそのようなサービスを 選んで利用するかということを考えると、直観と相いれないものであるように思えます。従業 員は、ファイルをコピーして共有できるようにするには、明らかに使いやすいソリューションを 希望します。ですから注意してください。(Google Drive または Dropbox のような)よく使用され るサービスのブロックに成功したとしても、(Minus や SugarSync のような)あまり知られていな いだけど似たようなサービスは見落としてしまうことがあります。 • 使用制限と IT 管理-プロバイダの中には、Syncplicity や Huddle のように、ビジネスに特有の 機能に対応した企業用のアカウントを有している会社もありますが、あらゆるクラウドベース のサービスについて次の 3 つの重要な側面を IT 部門がどのように記録をつけるかが問題で す。 • 承認-誰がアクセス権を持っているか? • 認証-意図された従業員だけが使用しているか? • 使用-許可された目的のためだけに使用されているか? 現状 これには事後的な再発防止策が用いられます。“靴爆弾犯人”が発生したために、合衆国の空港 で TSA(米運輸保安局)が乗客に靴を脱ぐよう要求するようになったのと同じように、ファイル共有 のクラウドプロバイダをブロックする際には、あなたが既に気付いているサイトへのアクセスしかブ ロックまたはコントロールすることができません。クラウドベースのファイル共有をブロックすること を真剣に考える場合、データのアップロードと保存が可能な Web 上のあらゆる場所について真剣 に考える必要があります。 分析と対策 情報セキュリティ脅威 6 つの落とし穴 7 6. ソーシャルメディア これについては、Twitter や Facebook だけではなく、他者と情報を共有するために利用できる多種 多様な形式の様々なソーシャルメディアの共有サービスに注意してください。図 2 では、ソーシャ ルメディアの分野で様々なサービスを提供しているプロバイダのリストの例を表示します。 図 2:ソーシャルメディアサービスのサンプルリスト (データ・セキュリティの観点から)このリストに関する良いニュースは、リストの中にはすでに営業 を終了している会社もあるということです。悪いニュースは、営業を終了している会社のロゴが、そ れらの会社に代わってより多くの会社が起業していることを示しているということです。 分析と対策 情報セキュリティ脅威 6 つの落とし穴 8 脅威 アクセス許可(または多くの場合十分な知識)はないが情報の保存、共有、取り出しをすることが 可能な従業員は、データ漏洩の危険性を増加させます。ファイル共有だけを脅威だと思わないで 下さい。従業員が Shutterfly のようなサイトに画像を投稿できる場合、データファイルを JPG ファイ ルに名前を変更して後から取り出しできるようにアップロードすることも可能です。 Facebook や Twitter では、企業は、データが不適切に共有される危険性を心配する必要がありま す。企業の最近の発展についてツイートを投稿することは、企業の評判、(上場していれば)株価、 セキュリティに悪影響を与える可能性があります。 どのように防ぎますか? • ポリシーから始める-従業員に規範と禁止事項を伝達する AUP(Internet Acceptable Use Policy)を、ソーシャルメディアポリシーの要素も含めて制定します。 • 主要なサービスにフィルターをかける-どのソーシャルメディアサービスに一番大きな危険が 潜んでいるかを見極めて、必要であればそのサービスへのアクセスをブロックします。 現状 現状はまさに Web メールにあります。多くのサービスが存在するためすべてをブロックすることは できず、ポリシーは必要ですが、そのポリシーが従業員の不適切な行為を止めるためにできるこ とには限りがあります。企業からデータが意図的に持ち出される場合、特定のソーシャルメディア サイトをまとめてブロックしても限定的な効果しかないというのが冷酷な現実です。 現実に正面から取り組む データ・セキュリティの歴史の中で、データが企業から失われるのにこれほど多くの方法が存在し たことはありませんでした。これらのセキュリティホールの問題に取り組もうとしたら、基本的にイン ターネットをすべてブロックする、印刷を一切許可しないといった極めて強引なスタンスを取るか、 自身を人目にさらしたままにしておくかのどちらかしかありません。 このような極端なスタンスを取る必要がある理由は、セキュリティのギャップがそれぞれどのように 利用(または悪用)されているかを見通すことができないからです。例えば、従業員が業務の一環 としてレポートを印刷する事は問題ありませんが、就業時間の後に 50 枚のドキュメントを印刷すれ ば、少なくとも気に留めるべきです。 分析と対策 情報セキュリティ脅威 6 つの落とし穴 9 問題は、企業が記録メディアや通信メディアに対処することで問題に取り組もうとしているというこ とです。記録メディアや通信メディアは問題の元凶ではありません。本当の元凶はデータを盗もう とする人間、つまり従業員です。企業で真剣にデータの漏洩のリスクを最小化しようとする場合、 唯一の正しい選択は、データを使用する従業員を監視することによってデータが適切に使用され ていることを確かめることです。 UAM(ユーザーアクティビティモニタリング)で脅威を検出する SPECTOR 360 の UAM(ユーザーアクティビティモニタリング)ソフトウェアは、業務を行なうコンピュ ーターで従業員が行なったすべてのアクション(キーストローク、E メール、IM、Web ページ、アプリ ケーション、印刷ジョブ)を監視、記録し、それに名前をつけることができます。Screen Playback で アクティビティを再生できるようにスクリーンショットも完備しています。アクションは監視され、良し 悪しを識別され、不適切だと判断されればリアルタイムでアラートが送信されます。 SPECTOR 360 で従業員のアクションを監視すれば、通常は見通すことのできない経路(例えば暗 号化された Web セッション、印刷、オフネットワークの使用)で発生するデータ漏洩を検出すること ができ、詳細をすべて記録できます。すべてのアクションは監視され、データ漏洩が発生した瞬間 に管理者が気付けるようにリアルタイムでアラートが送信されます。アクションとデータはダッシュ ボードで一元的に確認でき、問題になっているアクティビィの前後に実行されたアクションを再生し て、そのアクションの背景、証拠、疑問への回答を提供します。 分析と対策 情報セキュリティ脅威 6 つの落とし穴 10 日本語マニュアル発行日 2014 年 8 月 15 日 本マニュアル原文は『Six Obvious Threats to Data Security You Haven’t Really Addressed』です ジュピターテクノロジー株式会社 翻訳グループ 分析と対策 情報セキュリティ脅威 6 つの落とし穴
© Copyright 2024 Paperzz
