Googleクラウド印刷は今や世界中で慣れ親しまれているサービスで、台湾もibonステーション(台湾のセブンイレブン店舗に設置しているマルチコピー機)でクラウド印刷サービスを提供しています。Appleの技術であるApple Air Print もまた、プリンタのメーカーに類似のサービスを提供しています。サービスというものは便利であると同時にリスクを孕むものです。ここではGoogle Cloud Printサービスを例に、企業セキュリティにおけるクラウド印刷の潜在リスクを探求したいと思います。
クラウド印刷の使用方法
Googleクラウド印刷はまずGoogleアカウントを申請する必要があります。またChrome ブラウザも用意する必要があります。自宅にプリンタとネットワーク接続用の端末(プリンタ内蔵)を設置すれば使用できます。Google Driverサービスも同じような機能を実現できます。
自宅でChromeを使ってGoogleアカウントにログイン後、「設定」>「詳細」>「印刷」>「Googleクラウド印刷」>「クラウド印刷デバイス管理」からプリンタを追加します。プリンタは「Googleクラウドストレージへ保存する」、「自宅のプリンタ」、「Microsoft Print to PDF」…等任意に選択できます。
クラウド印刷による企業組織のセキュリティ脅威
以上の環境さえ用意すれば、社内でChromeを使ってGoogleアカウントにログインして、Chromeブラウザで組織のドキュメントを開けばそのまま自宅のプリンタで印刷できます。またはGoogleクラウドストレージに保存するなど、企業組織の「印刷制御」を簡単に回避できます。当然記録にも残りません。ログを記録しているシステムでもファイル操作しか記録されず、エクスポート、クラウド保存、印刷を追跡できません。つまりクラウドさえ利用すれば、社内のドキュメントをGoogleクラウドストレージに保存したり、Microsoft Print to PDFで持ち出したり、さらに自宅のプリンタでそのまま印刷できます。
企業組織のクラウドセキュリティ対策
多くの企業組織では、社内のPCがGoogleのクラウドサービスに接続できないようにWeb閲覧制御などを利用してブロックしていると思いますが、クラウド印刷サービスはGoogleだけが提供しているわけではありません。クラウド印刷サービスを提供している小規模な企業もあるので、一緒に対応してコントロールする必要があります。ところで、Googleアカウントのログイン制限や対象サービスのフィルタリングおよびブロックだけで、こうした漏えい対策に100%の効果をもたらせるでしょうか?
残念ですが難しいと言わざるを得ません。クラウド印刷サービスなどをフィルタリングしたりブロックしたりするために各種会社のドメインを指定しますが、IPアドレスを使用された場合これでは回避されてしまいます。そして、IPアドレスはドメインと異なりしばしば変更されるため、禁止する側から追従することは非常に困難です。このような内部リークのリスクを効果的にブロックするためには、きちんとしたDLP制御の仕組みが必要であるという根深い問題を抱えていることを認識するべきでしょう。
TotalSecurityFortでは、Googleドライブの禁止/暗号化出力強制[クラウド制御]、Googleアカウントによるログイン禁止[Web閲覧禁止制御]、ファイル暗号化[SVS]、印刷結果と印刷物の複製記録とウォーターマーク付与強制または指定外プリンタでの印刷禁止の機能を活用することで、これらの漏えいリスクにも容易にかつ柔軟に対策することが可能になっています。