- アシストの視点
Bダッシュ委員会 DAO分科会発信
「DAOをビジネスに適用できるか」社内で実証実験
新商材・サービスの発掘・育成に取り組むBダッシュ委員会活動の中で、分散型自律組織(DAO)のビジネス適用の可能性を探り、アシストのビジネスにどう活かせるかを研究する「DAO分科会」についてご紹介します。
|
2020年のオリンピック・パラリンピックの東京開催を見据え、観光立国を推進する観点から、政府が無線LANの整備を促進しています。街中でのアクセスポイントが増強され利便性が向上する一方で、企業にとっては新たな危険も潜んでいます。本稿では、そのように変化する環境の中で、企業のクライアント環境における情報漏洩対策で見落としがちなポイントについて、ご紹介します。
クライアント環境における情報漏洩対策というと、王道ともいえる対策にはクライアントPCで扱うデータの暗号化や、外部媒体への書き出し制御があります。多くの企業がこれらの対策をすでに実施していますが、外部媒体の制御については、以前はUSBメモリやCDに対する制御が主流であったのに対し、近年では、(外部媒体としての)スマートフォンへの書き出しを制御する企業も多くなりました。
また、スマートフォン等のスマートデバイスを業務に利用する企業が増える中で、同様に業務での利用が広がっているのが無線LANです。ご存知のように、無線LANというのは場所を意識することなく、公衆のWi-Fiスポットの他、スマートフォンのテザリングやモバイルルータ等を用いることで、簡単にクライアントPCをネットワークに接続させることができるため非常に便利です。しかし一方で、クライアントPCにおける情報漏洩の新たな抜け道となる可能性も潜んでおり、このリスクへの対策が急務であると考えられています。
社内で無線LAN環境を構築している企業にどのようなセキュリティ対策を実施しているかをお伺いすると、外部のユーザによる不正接続や、個人で持ち込んだパソコンの接続を防ぐためにMACアドレスや証明書を用いて接続を制限しているという回答を多くいただきます。いわゆる検疫ネットワークのような入口対策を実施している企業が多数ということです。これは、有線LAN環境で実施していたセキュリティ対策を、無線LAN環境においても適用しているものと思われます。しかしながら、前述の無線LAN利用における情報漏洩の新たな抜け道を防ぐためには、十分な対策とは言えません。では、続いて無線LAN環境ならではの対策ポイントについて考えてみたいと思います。有線LAN環境が前提の時代は、そもそもクライアントPCが社外のネットワークに接続できる口が自宅やホテルなどにほぼ限定されていました。一方、無線LAN環境の場合は、公衆のWi-Fiスポットや個人所有のモバイルルータ等、社外にクライアントPCを持ち出さずとも社内に居ながらにして、複数の電波を拾うことが可能です。つまり身近にネットワークに接続できる入り口が多数存在するため、クライアントPCが簡単に社外ネットワーク(インターネット)に直接接続される状態になっています。そして、このインターネットへの直接接続には様々なリスクが伴うにもかかわらず、その脅威を把握し、対策を行っている企業はまだ少数しかないようです。
LAN環境が有線であろうと無線であろうと、一般的にクライアントPCが社内のネットワークを経由してインターネットに接続する際には、ファイアウォールの他、ゲートウェイにて実施しているウイルス対策やWebのフィルタリング、アクセスログの取得など、複数のセキュリティチェックを通してインターネットに接続させているケースがほとんどかと思います。最近では、標的型攻撃対策をゲートウェイで実施している企業も多いことでしょう。(図1の経路①)
|
しかし、個人所有のモバイルルータやスマートフォンのテザリング等を用いてクライアントPCを直接インターネットに接続させた場合は、インターネット接続の関所ともいえるゲートウェイを通過しないため、先述したようなセキュリティ対策がすべてスルーされることになってしまうのです。(図1の経路②) 対策がすべてスルーされてしまうということは、例えば、本来はWebフィルタリングにより接続が制限されているような危険なサイトにアクセスしてマルウェアに感染してしまうといったリスクや、接続が制限されているクラウドストレージにデータをアップロードしたことにより、情報漏洩が発生してしまうといったリスクも考えられます。さらには、あまり考えたくはありませんが、悪意をもってデータを持ち出そうとする人がいたらどうでしょうか。ゲートウェイを通過しないので当然ログも取られない上、USBメモリ等のように物理的にクライアントPCにデバイスを接続する必要もないため、周りから怪しまれることもなく、簡単にデータを持ち出す手段として利用されることも想像に難くありません。これではせっかく外部媒体の利用禁止等によるデータの持ち出し制御を行っていても、何にもなりません。
この無線LANを利用した抜け道は、厄介なことに、自社で無線LANを構築(利用)している、いないに関わらず発生し得る問題となります。それは、現在販売されている多くのクライアントPC(特にノートPC)には、無線LANのモジュールが標準装備されているため、無線LANのスイッチをONにさえすればすぐに無線LANに接続することができるからです。また、無線LANのモジュールがないクライアントPCでも、USB接続の極めて小さな無線LAN子機を利用すれば、簡単に無線LANを利用することができてしまいます。つまり、この脅威は多くの企業にとって、対策の検討が必要な問題だと言えます。
弊社でも無線LANモジュールを搭載したノートPCをほぼ全社員が利用しているため同様の問題を抱えていましたが、弊社で取り扱っている「秘文」を導入することで対策をとりました。「秘文」は、クライアントPCにインストールして利用する情報漏洩対策ソフトウェアで、クライアントPCに対して「許可したアクセスポイント以外には接続させない」「VPN接続以外の通信を遮断する」「社内のネットワークから外れた際はクライアントPCをロックする」といった制御を、利用形態に応じて設定することが可能です。弊社では、社内のアクセスポイントに接続した際には特に制御は行わず、公衆のWi-Fiスポットやモバイルルータ等、社外のアクセスポイントに接続した際は、強制的に社内にVPN接続するように制御を行うことにより、インターネットへの直接接続を防止しています。これにより、社員はどこにいても会社のクライアントPCでインターネットに接続する際は、セキュリティ対策が施された社内のゲートウェイを通過した後、インターネットへ接続するという環境を実現することができました。(図2 経路③)
|
つまり、外出先の空港やカフェなどに設置されているWi-Fiスポットを利用する場合であっても、セキュリティが担保された安全な状態でインターネットを利用することができるようになっています。もともと弊社では、社外のアクセスポイントに接続した際は、VPN接続を利用することが義務付けられていたため、ルールを守ってきたユーザにとっては、従来となんら変わりなくネットワークを利用することが可能です。一方で、管理者にとってはルールからの逸脱を確実に制御できるようになり、利便性とセキュリティの確保を高いレベルで実現することができました。
本稿では、無線LAN環境におけるクライアントPCのセキュリティについてご紹介してきましたが、企業のクライアントPCを取り巻く環境は日々変化しています。それは、ワークスタイルの変革など、働き方の変化によってもたらされることもあるでしょうし、スマートデバイスやウェアラブルデバイス等、新しいハードウェアや技術によってもたらされるケースもあります。IoTが叫ばれる昨今では、さらなるハードウェアの多様化も予想されますが、様々なハードウェアが混在する環境においては、それぞれの端末からのデータの抜け道をモグラ叩き的に対策を行っていくような場所や経路に主眼を置いた現在のセキュリティ対策はもう限界なのではないかという声もあがっています。そのような環境においては、場所、経路を問わず、アプリケーションへのアクセス制御を主眼として守る方法や、さらに進んでアプリケーションを問わず、データそのものに主眼を置いてセキュリティを施していくようなIRM(Information Rights Management)やDRM(Digital Rights Management)といった技術が、今後より注目されていくのではないかと思われます。以前より言われている話ではありますが、セキュリティはその環境に応じた都度の見直しが重要です。単に使わせないといったセキュリティはもう通用しません。変化する環境にいかに適応し、安全に活用していくことができるかといった点が今後ビジネスを加速させる上でも重要です。弊社でも、常に日々変化する環境、技術をキャッチアップし、情報を発信していくとともに、皆様が新しい技術を安全に活用できるようご支援して参ります。
|
中澤 浩二
|
最後までご覧いただきありがとうございました。
本記事でご紹介した製品・サービスに関するコンテンツをご用意しています。また、この記事の他にも、IT技術情報に関する執筆記事を多数公開しておりますのでぜひご覧ください。
新商材・サービスの発掘・育成に取り組むBダッシュ委員会活動の中で、分散型自律組織(DAO)のビジネス適用の可能性を探り、アシストのビジネスにどう活かせるかを研究する「DAO分科会」についてご紹介します。
生成AI時代に改めて考えたいセキュリティ対策について、後編では「生成AIを活用したセキュリティ対策」を中心に解説します。
生成AI時代に改めて考えたいセキュリティ対策について、前編では「生成AIが使われる攻撃への対策」、「生成AIを利用する場合の対策」を中心に解説します。