チャット系アプリケーション
メールよりリアルタイム性が高く電話ほど相手に負担をかけないため、社内にとどまらず、外部とのコミュニケーションでもチャット系アプリケーションを利用するケースが増えていると感じます。ツールにより、コミュニケーションの効率が上がるケースもありますが、チャット内容は管理会社に送られるためこれも潜在的な情報漏えいです。
例えば、ここ数年で爆発的に普及した「LINE」はスマートフォンにとどまらずコンピューター上でも利用されており、業務で利用されているケースも多いと思います。Baidu IMEの騒動は運営会社が中国系企業でだったことにより、政府や民間企業の懸念をさらに煽りましたが、LINEは韓国系企業により提供されています。
ゲートウェイで対応を
企業として意図しないクラウド利用による情報漏えいを防ぐには、ゲートウェイでの対応が適しています。資産管理ソフトではウェブ系のサービスは対応できないため、URLフィルタリングと組み合わせて使うなど運用が複雑になってしまいます。
クラウドに情報を送信するアプリケーションのモニタリング
これが第1ステップです。可視化の手段を持たないことには制御も、万が一情報漏えい事故を起こした際の事後調査もできません。幸い多くの次世代ファイアウォールやゲートウェイセキュリティ製品にアプリケーション識別機能が搭載されていますのでそれを利用することによりモニタリングが可能です。
「クラウドに情報を送信するアプリケーション」の定義が難しいと思われるかもしれませんが、アプリケーション識別機能を持つ製品ではアプリケーションが「ファイル共有」「インスタントメッセージ(チャット機能)」などカテゴリ分けされており、このカテゴリでまとめて使用ルール(ポリシー)の設定が可能です。
アプリケーション制御機能でBaidu IMEの通信を検知した際のログ画面
Baidu IMEの詳細ログ
ポリシーを設定する
全社でクラウド利用のアプリケーションすべて禁止にすると業務に支障が出てしまい、生産性が下がる場合があります。各グループやユーザーの業務の必要性に応じて何を許可するのか、どのようなルールであればリスクを最小限にして、同時に生産性を高めることができるのかのポリシーを定義します。
-
ポリシーを実行する
ポリシーの実行は明文化し社内に通知するだけでは十分ではありません。全員に認知してもらいそれを守ってもらうのは困難です。最新のファイアウォールやそのゲートウェイセキュリティ製品のアプリケーション制御機能にポリシーを書き込み、定義したルール通りに自動的に運用することによって、ポリシーを確実に実行でき、リスク低減と生産性向上を両立できます。
クラウド利用とリスク管理
P2P型ファイル共有のような誰もが危険と思うアプリケーションだけではなく、今回紹介したオフィス系アプリケーションや翻訳サイトなど通常危険と思われていないアプリケーションにもクラウド利用による情報漏えいリスクは潜んでいます。クラウド化によるメリットを活かしながらリスクを最小限にするポリシーを各企業で策定、実行するべきと考えています。
- 菅原 継顕
- 米パロアルトネットワークス 日本国内で大手アンチウイルスベンダー、UTMベンダーなどでマーケティングを担当し、現在パロアルトネットワークス米国本社でシニアプロダクトマーケティングとして管理系製品、日本とアジア市場を担当。約15年、情報セキュリティに携る。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。