ソリトンシステムズのサイバーセキュリティ第4回「究極のサイバー攻撃対策はIT退化なのか？増え続ける『何もしないことのリスク』」

インターネットは汚染され、サイバー攻撃が多様化する今日、もはやどこにも安息の地が無いようにも感じられる。究極のサイバー攻撃対策は、IT依存度を下げることではないかという皮肉さえ聞こえてくる。

しかし、ITを積極的に利用し、インターネットを活用することが、グローバルな市場競争の中で日本企業が戦う力となっているのも事実だ。モバイルやクラウドを活用することで、圧倒的なビジネススピードやイノベーションを手にした企業も多い。

サイバーリスクの高まりを受けて、IT依存度を低減し、IT退化することは、果たして賢い選択なのか？攻めのITの一つである『モバイルワーク』の観点で、ソリトンシステムズ荒木氏に話を聞いた。

●先進的かどうかの議論ではなく、リスクの変化

「業種・業態のご事情もあるので100%とは言いませんが、冷静にリスク分析していけば、IT依存度を下げることだけがサイバーリスク対策ではないという結論に達する企業・組織のほうが多いのではないでしょうか？

『モバイルワークなんて、うちの会社にはまだ早い』といったお声も時々聞きますが、これは、先進的かどうかの議論ではなく、環境が変化したことによるリスクの変化であって、サイバーセキュリティの文脈で考えるべき重要な検討項目です。（荒木氏）」

●IT依存度を下げることが逆にポリシー違反を助長する？

たとえば、個人のスマートデバイスに無断で打ち合わせのための機密情報をコピーしたり、個人のメールアドレスに訪問予定の顧客情報を転送するといったことは、セキュリティポリシーで禁止されていても、実はかなりの確率で行われていると考えたほうが良いという。

「もしモバイルワークがビジネスニーズとしてあるなら、こうしたリスクに対応するには、正規の安全な代替手段、つまりセキュアなモバイルワーク基盤を提供するのが一番です。厳しくモバイルワークを禁止し、IT依存度を下げる手段を取っても、隠れたポリシー違反を助長し、かえってリスクを高めてしまうおそれがあるため注意が必要です。（荒木氏）」

●逆転の発想が必要だったBYOD

では、セキュアなモバイルワークを実現するにはどうすれば良いのだろうか？

スマートフォンやタブレットなどのモバイルデバイスを積極的に活用させるために、私物端末を業務に活用させるBYOD（Bring your own device）を検討する企業も少なくない。しかし企業資産の端末と異なり、BYODは安易に端末初期化出来ず、また様々な種類の端末が想定されるため、検疫やポリシーチェックのアプローチは難しいと言われる。BYODをポリシーチェックしようとすると膨大な種類の端末に対応しなければならず、きりがなくなる可能性があるためだ。

「私たちもBYODにおけるセキュリティ確保に悩まれるお客様からご相談をいただき、検疫とは逆転の発想で企業の機密データを守るソリューションが必要だと考えました。つまり、モバイル端末内に安全な領域を作り、企業の機密データはその領域内だけで利用する、利用終了後はキャッシュ含めて機密データを削除するという考え方です。（荒木氏）」

そうして生まれたのが Soliton SecureBrowser/SecureGateway だという。

●スマートデバイスに合わせたリスク対策

スマートデバイスは、PCに比べて紛失率が高い。VPNで社内ネットワークやクラウドに接続させ情報参照させると、スマートデバイスにデータをダウンロード出来てしまう。つまりデータが残存したデバイスの紛失によって、情報漏洩する可能性が高くなってしまう。

機密情報をスマートデバイスに残さず、それだけを確実に削除する為には、VPN機能とデータ削除可能なセキュアな領域が一体化したソリューションが必要だった。

「さらに、ユーザー認証だけでなく、デジタル証明書ベースで端末認証出来るソリューションにするべきだと考えました。スマートデバイスで利用される情報は、機密性の高いケースも多いのに、端末識別ID等を利用した端末認証は、詐称が可能だったり、OSやデバイスメーカーによって仕様が異なるなど、様々な観点で課題があったためです。

端末を紛失した場合には、管理者側でデジタル証明書を無効にすれば、認証を失敗させることができます。認証はセキュリティの基本であり、モバイルデバイスだからといって妥協してはいけないポイントだと考えています。（荒木氏）」

Soliton SecureBrowser/SecureGateway は、iOS/Android/Windows/Macに対応し、デジタル証明書による認証を実装したモバイルワーク基盤として、機密性の高い情報を取り扱う企業・組織に多く採用されている。

●何もしないのもリスク

業務内容によっては、モバイルやクラウドを活用しないという選択もあるだろう。しかし、もし業務上、社外で何らかの機密情報を参照する必要性があるなら、そしてそれがスピードを要求される業務なら、出来るだけ早くリスク分析を行い、対策を検討すべきだという。

「どちらかというと、リスクを理解していないわけでも、IT依存度を下げようとしているわけでもなく、他プロジェクトとの兼ね合いなどでやむなくモバイルワークを後回しにしていらした企業の方が多いのではないかと思っています。モバイルワーク導入にあたり、社内規定の見直しや労務管理の課題に苦労なさっているケースもありますが、それでも、出来るだけユーザーの利便性を高め、本来のビジネスに集中できるセキュアなIT環境を提供したいという思いで、積極的に取り組まれている情報システム部門の方もたくさんいらっしゃいます。

そんな中、隠れたポリシー違反が増えている現状ばかりお話しするのは気が引けるのですが、いつ大きなインシデントが発生してもおかしくない状況も多数見受けられるので、個人的には危機感を覚えています。『何もしないのもリスク』であるとお伝えしつつ、少しでもこうした課題の解決にお役に立てればと考えています（荒木氏）」

モバイルワークは、ビジネススピードの加速だけでなく、ビジネスの継続性に貢献するケースもある。コストや労務管理など、様々な課題が付随して一筋縄にはいかないことも多いが、リスク管理の観点、そしてサイバーセキュリティの観点からも、モバイルワークを改めて検討するタイミングに来ているのかもしれない。