アシストのブログ

  • アシストの視点
2016.09.09

クライアント環境における見落としがちな情報漏洩の新たな抜け道とは

クライアント環境における見落としがちな情報漏洩の新たな抜け道とは

2020年のオリンピック・パラリンピックの東京開催を見据え、観光立国を推進する観点から、政府が無線LANの整備を促進しています。街中でのアクセスポイントが増強され利便性が向上する一方で、企業にとっては新たな危険も潜んでいます。本稿では、そのように変化する環境の中で、企業のクライアント環境における情報漏洩対策で見落としがちなポイントについて、ご紹介します。


無線LANの普及で情報漏洩につながる新たな抜け道出現


クライアント環境における情報漏洩対策というと、王道ともいえる対策にはクライアントPCで扱うデータの暗号化や、外部媒体への書き出し制御があります。多くの企業がこれらの対策をすでに実施していますが、外部媒体の制御については、以前はUSBメモリやCDに対する制御が主流であったのに対し、近年では、(外部媒体としての)スマートフォンへの書き出しを制御する企業も多くなりました。

また、スマートフォン等のスマートデバイスを業務に利用する企業が増える中で、同様に業務での利用が広がっているのが無線LANです。ご存知のように、無線LANというのは場所を意識することなく、公衆のWi-Fiスポットの他、スマートフォンのテザリングやモバイルルータ等を用いることで、簡単にクライアントPCをネットワークに接続させることができるため非常に便利です。しかし一方で、クライアントPCにおける情報漏洩の新たな抜け道となる可能性も潜んでおり、このリスクへの対策が急務であると考えられています。

対策にあたっては無線LANならではの視点が必要


社内で無線LAN環境を構築している企業にどのようなセキュリティ対策を実施しているかをお伺いすると、外部のユーザによる不正接続や、個人で持ち込んだパソコンの接続を防ぐためにMACアドレスや証明書を用いて接続を制限しているという回答を多くいただきます。いわゆる検疫ネットワークのような入口対策を実施している企業が多数ということです。これは、有線LAN環境で実施していたセキュリティ対策を、無線LAN環境においても適用しているものと思われます。しかしながら、前述の無線LAN利用における情報漏洩の新たな抜け道を防ぐためには、十分な対策とは言えません。では、続いて無線LAN環境ならではの対策ポイントについて考えてみたいと思います。有線LAN環境が前提の時代は、そもそもクライアントPCが社外のネットワークに接続できる口が自宅やホテルなどにほぼ限定されていました。一方、無線LAN環境の場合は、公衆のWi-Fiスポットや個人所有のモバイルルータ等、社外にクライアントPCを持ち出さずとも社内に居ながらにして、複数の電波を拾うことが可能です。つまり身近にネットワークに接続できる入り口が多数存在するため、クライアントPCが簡単に社外ネットワーク(インターネット)に直接接続される状態になっています。そして、このインターネットへの直接接続には様々なリスクが伴うにもかかわらず、その脅威を把握し、対策を行っている企業はまだ少数しかないようです。

インターネットへの直接接続が脅威になりうる理由


LAN環境が有線であろうと無線であろうと、一般的にクライアントPCが社内のネットワークを経由してインターネットに接続する際には、ファイアウォールの他、ゲートウェイにて実施しているウイルス対策やWebのフィルタリング、アクセスログの取得など、複数のセキュリティチェックを通してインターネットに接続させているケースがほとんどかと思います。最近では、標的型攻撃対策をゲートウェイで実施している企業も多いことでしょう。(図1の経路①)

図1 インターネットへの接続経路

図1 インターネットへの接続経路


しかし、個人所有のモバイルルータやスマートフォンのテザリング等を用いてクライアントPCを直接インターネットに接続させた場合は、インターネット接続の関所ともいえるゲートウェイを通過しないため、先述したようなセキュリティ対策がすべてスルーされることになってしまうのです。(図1の経路②) 対策がすべてスルーされてしまうということは、例えば、本来はWebフィルタリングにより接続が制限されているような危険なサイトにアクセスしてマルウェアに感染してしまうといったリスクや、接続が制限されているクラウドストレージにデータをアップロードしたことにより、情報漏洩が発生してしまうといったリスクも考えられます。さらには、あまり考えたくはありませんが、悪意をもってデータを持ち出そうとする人がいたらどうでしょうか。ゲートウェイを通過しないので当然ログも取られない上、USBメモリ等のように物理的にクライアントPCにデバイスを接続する必要もないため、周りから怪しまれることもなく、簡単にデータを持ち出す手段として利用されることも想像に難くありません。これではせっかく外部媒体の利用禁止等によるデータの持ち出し制御を行っていても、何にもなりません。

自社で無線LAN環境を構築(利用)しているか否かは関係ない


この無線LANを利用した抜け道は、厄介なことに、自社で無線LANを構築(利用)している、いないに関わらず発生し得る問題となります。それは、現在販売されている多くのクライアントPC(特にノートPC)には、無線LANのモジュールが標準装備されているため、無線LANのスイッチをONにさえすればすぐに無線LANに接続することができるからです。また、無線LANのモジュールがないクライアントPCでも、USB接続の極めて小さな無線LAN子機を利用すれば、簡単に無線LANを利用することができてしまいます。つまり、この脅威は多くの企業にとって、対策の検討が必要な問題だと言えます。

VPN接続の強制利用で解決


弊社でも無線LANモジュールを搭載したノートPCをほぼ全社員が利用しているため同様の問題を抱えていましたが、弊社で取り扱っている「秘文」を導入することで対策をとりました。「秘文」は、クライアントPCにインストールして利用する情報漏洩対策ソフトウェアで、クライアントPCに対して「許可したアクセスポイント以外には接続させない」「VPN接続以外の通信を遮断する」「社内のネットワークから外れた際はクライアントPCをロックする」といった制御を、利用形態に応じて設定することが可能です。弊社では、社内のアクセスポイントに接続した際には特に制御は行わず、公衆のWi-Fiスポットやモバイルルータ等、社外のアクセスポイントに接続した際は、強制的に社内にVPN接続するように制御を行うことにより、インターネットへの直接接続を防止しています。これにより、社員はどこにいても会社のクライアントPCでインターネットに接続する際は、セキュリティ対策が施された社内のゲートウェイを通過した後、インターネットへ接続するという環境を実現することができました。(図2 経路③)

図2 VPN接続を経由したインターネットへの経路

図2 VPN接続を経由したインターネットへの経路


つまり、外出先の空港やカフェなどに設置されているWi-Fiスポットを利用する場合であっても、セキュリティが担保された安全な状態でインターネットを利用することができるようになっています。もともと弊社では、社外のアクセスポイントに接続した際は、VPN接続を利用することが義務付けられていたため、ルールを守ってきたユーザにとっては、従来となんら変わりなくネットワークを利用することが可能です。一方で、管理者にとってはルールからの逸脱を確実に制御できるようになり、利便性とセキュリティの確保を高いレベルで実現することができました。

日々変化する環境の中で、セキュリティ対策の見直しを


本稿では、無線LAN環境におけるクライアントPCのセキュリティについてご紹介してきましたが、企業のクライアントPCを取り巻く環境は日々変化しています。それは、ワークスタイルの変革など、働き方の変化によってもたらされることもあるでしょうし、スマートデバイスやウェアラブルデバイス等、新しいハードウェアや技術によってもたらされるケースもあります。IoTが叫ばれる昨今では、さらなるハードウェアの多様化も予想されますが、様々なハードウェアが混在する環境においては、それぞれの端末からのデータの抜け道をモグラ叩き的に対策を行っていくような場所や経路に主眼を置いた現在のセキュリティ対策はもう限界なのではないかという声もあがっています。そのような環境においては、場所、経路を問わず、アプリケーションへのアクセス制御を主眼として守る方法や、さらに進んでアプリケーションを問わず、データそのものに主眼を置いてセキュリティを施していくようなIRM(Information Rights Management)やDRM(Digital Rights Management)といった技術が、今後より注目されていくのではないかと思われます。以前より言われている話ではありますが、セキュリティはその環境に応じた都度の見直しが重要です。単に使わせないといったセキュリティはもう通用しません。変化する環境にいかに適応し、安全に活用していくことができるかといった点が今後ビジネスを加速させる上でも重要です。弊社でも、常に日々変化する環境、技術をキャッチアップし、情報を発信していくとともに、皆様が新しい技術を安全に活用できるようご支援して参ります。

  • 本稿は弊社が信頼できると判断した情報源に基づいて執筆していますがその情報の正確性、完全性を保証するものではありません。また本稿に記載された、弊社意見、予測などは本稿作成時点における弊社の判断であり今後予告なく変更されることがあります。
  • 記載した製品名および社名は、各社の商標または登録商標です。

執筆者のご紹介

アシスト中澤 浩二

中澤 浩二
システム基盤技術本部

2000年入社。クライアント、サーバ、ログ管理、メール等、セキュリティに関するソフトを担当。個人情報保護法対応に始まり、内部不正や標的型攻撃に対するシステムの導入提案、構築、サポート等に従事し、現在に至る。やんちゃな2児の息子の子育てと、趣味のゴルフの両立が最近の悩み。

本記事をご覧いただいている方へのご案内

最後までご覧いただきありがとうございました。
本記事でご紹介した製品・サービスに関するコンテンツをご用意しています。また、この記事の他にも、IT技術情報に関する執筆記事を多数公開しておりますのでぜひご覧ください。

関連している記事

  • アシストの視点
2023.12.28

アシストの視点 人と組織を強化する

アシストでは、日本の顧客企業に役立つ商材の発掘・調査をあらゆる製品分野において行っています。今回はその中でも「人と組織」に焦点をあてた最新テクノロジーについてご紹介します。

  • アシストの視点
2023.09.26

アシスト取扱製品ヒストリー:Zabbix編

「目利きのアシスト」を自負する我々が、どのように製品と出会い、お客様の元へ届けてきたのでしょうか。また、メーカーとの関係性はどうなのでしょう。今回は、2014年より取り扱いを開始させていただいた「Zabbix」とのヒストリーをご紹介します。

  • アシストの視点
2023.06.30

生成AI界隈トーク:第1回「企業は生成AIとどう向き合うか」

世界的に注目を集めている生成AI界隈で、企業活用での課題は何か、生成AIで何を実現すべきなのかをテーマにアシストの板木、松山が語ります。

ページの先頭へ戻る