他人事じゃない!情シス担当者に聞いた、インシデント事例
セキュリティ インシデントは日常的に発生する脅威であり、どのように対策を講じるかに多くの情報システム担当者が頭を悩ませている。
実際にどのようなインシデントを経験しているのか、2024 年に情シス担当者向けに行ったアンケート調査(2024 年 10 月朝日新聞社調べ)のいくつかのエピソードから、必要なセキュリティ対策の視点と、それを導入・運用しやすいブラウザ上で実施できる有効なセキュリティ対策として「セキュア エンタープライズ ブラウザ」の活用を紹介していこう。
アクセス制御の対象と保護対象の整理で
インシデントを防ぐ
これらの 3 つのエピソードの中で注目したいのは、アクセス制御とデータ保護の対象だ。
例えば、(1)では、アクセス制御の対象は「業務を担当する従業員や一般従業員」、保護対象は「基幹システムの ID とパスワード」となる。(2)では、アクセス制御の対象は「従業員の私有パソコン」、保護対象は「協力会社含む会社の機密情報」となる。(3)では、アクセス制御の対象は「機密情報に日常的に接触することが可能な従業員」、保護対象は「社内パソコンに含まれる顧客情報」となる。
つまり、従業員の業務環境や役割、端末ごとにアクセス制御を行い、それぞれで保護すべき情報を明確にすることが重要であり、一方でその個々の組織及び取引先を含む業務環境を横断した多種多様な条件における管理は、対応が難しく対策が遅れがちである実情がおわかりいただけるであろう。さらに、別のエピソードについても検討を加えてみよう。
こうした事例が示すように、インシデントの対象は「従業員」だけでなく、「取引先や協力会社を含む社外の従業員」なども含まれる。保護対象は「社内パソコン」「持ち出しパソコン」「協力会社のパソコン」などとなり、会社環境での社内配布端末の管理だけでは不十分となってしまうケースも想定しなければならない。加えて必要になるのが、システムや端末を利用する場所や時間だ。現在は、在宅勤務やリモートアクセス、VPN 経由でのパートナーとの協業など、システムや端末の利用環境は複雑化している。それらを正しく把握し、監視する必要があるのだが、実情として管理業務の工数が逼迫しかねないほどに管理の構図が複雑化している。
解決のアプローチと
「セキュア エンタープライズ ブラウザ」
ここまでのインシデント事例を踏まえると、企業のデータを守るにはアクセス制御や監視を行う必要がある。これは「アクセスしたユーザーが誰なのか」「信頼できる端末からのアクセスなのか」「いつどこからアクセスしたのか」といった観点から行っていくのが有効だ。
実際にこうした制御と監視を行いながらデータを守る手段の1つが「セキュア エンタープライズ ブラウザ」の活用である。アクセス制御はさまざまな方法があるが、業務と密接に結びついたブラウザを利用できれば、導入や運用の負担の観点からもメリットが大きい。
このセキュア エンタープライズ ブラウザの例として、Google が提供する「Chrome Enterprise Core」では、組織で利用するブラウザに関する設定やポリシーを一元管理し、基本的なアクセス制御の機能を提供している。
しかし、前半で紹介したインシデントに対応するためには、より高度なセキュリティ機能を実現する必要がある。その際に効果を発揮するのが「Chrome Enterprise Premium」だ。高度なアクセス制御(雇用形態/端末の状態/場所や時間等に基づく制御)のほか、インサイダーリスクの把握及び情報漏えい対策や、データ操作の詳細な記録を確認することもできる。
例えば、アクセス制御については、社内パソコンには業務上必要なアプリケーションへのアクセスをすべて許可し、持ち出しパソコンや私有パソコンには業務に最低限必要なものだけにアクセスを認めるといった、柔軟な制御をブラウザ側の管理だけで実現できる。
情報やデータの漏えいを防ぐという観点では、例えばダウンロードやアップロード、コピー&ペースト、印刷など、「どんな操作が行われたのか」を監視し、不適切な行動が見られた場合に警告やブロックを行うという対策も可能になる。データへの操作を記録(ログ)として残せるため、万が一の情報漏えい時に記録をたどって問題解決にあたることが可能だ。また、アクセス元の端末の状態に基づいて情報保護ポリシーを変えられるので、BYOD(個人所有端末の業務利用)の場合はダウンロードもスクリーンショットも防いで完全に情報が持ち出されないように制御して、会社支給の場合は柔軟性を優先しながらも監査は徹底するといった対策を取ることができる。
「ユーザーの利便性とセキュリティの安全性のバランスを保つ」
ことが重要
人や役割、環境ごとにアクセス制御が可能であることは上述の通りだが、Chrome Enterprise Premium は、ユーザーの役割や所属部門などの情報とデバイスの種類に基づいた設定を使って、日常業務で使用するブラウザ上でアクセス制御やデータ保護を行うことができる。さらに、ブラウザの利用状況を把握したり、ブラウザで行っているさまざまな操作のログ監視を詳細に行ったりできる。いつ、どこで、誰が、どの URL で、どのようなデータを、どういう操作でやり取りしたのか、詳細に把握ができるので内部不正やガバナンス強化に応用することが可能だ。これにより、セキュリティを強化しながらも、管理者の負荷を下げ、ユーザーの生産性向上や多様な働き方をサポートできることが最大のメリットだ。
先ほど紹介した情シス担当者向けのアンケートでは「理想的なセキュリティ対策のあり方とは何か」という質問も行ったところ、以下のような意見が寄せられた。
・ユーザーが意識することなくセキュリティが担保されている状態。わざわざ工数を掛けたり高度な知識を持たなくてもよく、リテラシーの低いメンバーにも徹底されているような形。またセキュリティ レポートに必要な情報が自動収集される。(運輸業・郵便業 東京都 30 代)
・社内情報を部外者に簡単に取得できないようにする一方で、ユーザー利便性を考えた情報アクセスを担保し、業務効率も考えたバランスの良いセキュリティ施策を実行する企業体制およびチーム体制。また、外部委託なども考慮した、コストパフォーマンスに優れた体制。(製造業 兵庫県 40 代)
こうした意見からもわかるように、理想的なセキュリティ対策には「ユーザーの利便性とセキュリティの安全性のバランスを保つこと」が 1 つのキーワードとなる。Chrome Enterprise Premium を用いて、ぜひ利便性とセキュリティの両立を図ってみてはいかがだろうか。
