デバイスの紛失事故は多種多様で、カフェでノートPCを忘れたり、夜の街で車の窓が割られたり、夏休みに宿舎のPCが盗まれたり、退職時に機器を返却する際に一部パーツしか返却しなかったりなど、様々な事故があります。ノートPCだけでなく、企業は各種エンドポイントデバイスの紛失問題に直面しています。一般ユーザにとってはノートPCの紛失は自身の業務に影響を及ぼすだけかもしれませんが、他者の個人情報含まれている場合はもう少し深刻です。適切な保護措置がない場合、デバイスを手に入れた人物は他のオペレーティングシステムを使用して起動し、そのデバイスのディスクに保存されているすべてのデータにアクセスできます。メール・業務用ドキュメント・ウェブ閲覧ログさらにはプライベートな写真なども含まれます。現在のブラウザやアプリケーションは、記憶したアカウントやパスワードを暗号化して保護することができますが、デバイスが他人に渡ると自由に触られる以上、データが抽出される可能性が高いです。
ノートPC紛失後のフォローコストは驚くべきもの
Ponemon Instituteの調査レポートによると、紛失したノートPCの処理には数倍の金額がかかることがわかっています。追加コスト費用のほとんどは、データのクリーンアップや破壊(可能な場合)、法的手続きや管理、機密情報の漏洩などを防ぐために費やされます。さらに関係者や協力パートナーへの通知など、大量な時間が消費されます。
ファイル暗号化のコストは鍵管理と外部対象
最も直接的な保護方法は、データを暗号化することです。暗号化自体は高度な技術ではありませんが、十分な強度を持つツールは数多く存在します。しかし、問題は業務上の柔軟性と他社との協業を考慮することです。暗号化はデータのアクセスをジャミングする方法であり、認可されていない個人が解読できない以上、どうしても業務の遂行を妨害します。
もちろん、最終的にはキー管理になりツールプログラムで代行することができます。実際、管理者が管理するのはユーザの役割とアイデンティティです。それでも、異なるアプリケーションの運用シナリオに対応するため、内部ユーザや外部ユーザを区別する必要があり、管理の複雑さが受け入れられない場合があります。また、ドキュメントアプリケーションはバージョンの互換性とユーザエクスペリエンス(操作習慣)の課題に直面する可能性があり、サポートできるアプリケーションの範囲も限られてくるため、ファイル暗号化の適用範囲が大幅に制限される可能性があります。
第三者との協業にも固有の課題があります。第1に対応する暗号化/復号ツールが必要で、第2に対象を適切に管理・監査する必要があります。いくつかの製造業のアプリケーションでは、ソース画像を出力する必要があります。この状態で機密性を維持するには、両者が共通のツールやセキュアな中間プラットフォームが必要になります。
現在、ほとんどのソリューションはナレッジマネジメント(KM)、製品データ管理(PDM)、IRM/DRMのような複雑なもので、文書管理部門でデータをスキャン・分類・暗号化しています。ポータルを介してファイルにアクセスし、データがローカルに保存されないように制限して保護効果を達成します。フィルタリングできるDLPでもPCのローカルに生成されるファイルには無力です。例えばノートPC盗難のケースだとほぼ役に立ちません。
ストレージ暗号化のコストは災害復旧のため
災害復旧(Disaster Recovery:DR)には、復旧のキー管理とメディアのバックアップ管理が関わってきます。通常、ストレージ暗号化はフルディスク暗号化(Full-disk encryption)と呼ばれます。例えば、WindowsデバイスではBitLockerを使用することができます。ディスク全体またはパーティションは同じ暗号化キーを使用して暗号化され、静的なデータの保護に役立ちます。この場合、デバイスがロックされると、有効なキーを入力しないとデバイスに保存されているデータにアクセスできません。たとえ物理的なストレージデバイスが持ち去られたとしても、他のオペレーティングシステムやツールを使って中身にアクセスすることはできません。この方法の欠点は、ユーザの通常アクセス時は平文状態で開かれているので、悪意のあるプログラムやAPTによってデータが少しずつ盗まれる可能性があります。また、操作中の編集・コピー&ペースト・別名保存などの行動が制限できません。ファイル暗号化に加えて、アプリケーション制御・アプリケーションのホワイトリスト(AWL)・フォルダの保護などの補助策と組み合わせた方が、より不正なアクセスや漏洩を防止できます。
信頼済みデバイス管理
どこでも好きな場所で働くこと(Work from Anywhere)とクラウドアプリケーションの普及により、企業のリソースにアクセスするデバイスはセキュリティ管理の悪夢となっています。
エンドポイントで使用される可能性のあるデバイスや場所
- 自宅のPC・タブレット・モバイルデバイス・企業が提供したデバイス
- 作業場所はリビングルーム・カフェ・ショッピングモール
- 企業のシステム・データセンター・ショッピングサイトに同時に接続する可能性がある
- USBメモリ・外付けハードドライブ・その他通信デバイスに接続する可能性があり、転送やインスタントメッセンジャーアプリをインストールしてる可能性もある
これらの場所のネットワーク保護が十分ではない場合や、使用されているデバイスが十分なエンドポイント保護ツールを持っていない場合、システムが常時更新されていない場合があります。組織もデバイスのアクセス状況をリアルタイムに把握する手段がなく、違反したデバイスやハッキングにあったり紛失したりする場合もほぼ追跡できません。したがって、エンドポイントデバイスの制御が最も重要です。
- 十分なセキュリティ要件を満たす(Trusted)デバイスを使用し、デバイスの登録や制限をする
- 必要なセキュリティ管理ソフトウェア(Managed)を搭載し、必要な活動監査やデータ漏洩経路の制御を提供する
- 中央管理でデバイスの登録を解除(Revoke)できること、紛失や盗難の場合はデバイスを使用できなくして、ファイルも閲覧出来ないようにする
適切なシナリオの選択
情報漏洩を全面的に防ぐため、上記の各暗号化ソリューションを同時に起用するだけという単純なものではありません。作業の柔軟性と管理コスト、ビジネスの性質を考慮して取捨選択する必要があります。主にイノベーションを行う研究開発が中心業務の組織の場合、ファイルベースの暗号化ソリューションは作業に重大な影響を与える可能性があるため、適していない場合があります。このような場合、フルディスク暗号化・信頼済みデバイス管理に加えて情報漏洩経路の制御を導入する方が適しています。各シナリオ適している統一的な解決策は存在しないので、柔軟性とハイブリッドな制御を組み合わせることで、セキュリティと作業のバランスを取るのが適切です。