2020年になっても、セキュリティ事件は未だ留まることを知りません。ハッキングによるウイルス感染、スカウトによる企業機密の漏洩など、日々さまざまのインシデントが起きています。企業にとってのセキュリティ保護もますます範囲が広くなり、これらのインシデントをしっかり検討して、一度セキュリティ管理をきちんと考え直す時期に来ています。
【外部記憶デバイス】
情報セキュリティは一度ですべてを完璧にこなすのは難しく、常に攻撃側の先を行くのは不可能と言えます。外部のさまざまな脅威に対して、最初にやるべきことは組織内部のデータの流れを整理することです。以下でよく見る外部記憶デバイスをリストアップして、セキュリティ的な観点で整理するので、これらを参照して、まずは簡単な部分から実施して、必要に応じて強固なセキュリティに進めていくことを推奨します。
まず、今や簡単に手に入るUSBメモリはデータのやり取りで一番普及しているデバイスと言えます。USBストレージの容量が大きくなり価格も下がる一方で、1つだけでどのようなファイルも自由自在に携帯できるようになっているのが現状です。当然、これらUSBメモリの使用にも適切な管理が必要になります。組織でセキュリティ管理を実施した経験がなくどこから着手すべきかわからない場合、まずはUSBメモリの使用管理から着手した方がいいでしょう。最低限でもUSBメモリ経由のデータやり取りに関するユーザの操作ログやファイルのバックアップを取っておきましょう。さらに組織内で認証していないUSBデバイスを禁止できれば、機密の漏洩を有効的に防止できます。
廉価・大容量・使い勝手の良さと3拍子揃ったUSBデバイスの普及により、今や光学ディスクはほとんど使われないようになり、ノートPCもほとんど光学ドライブを搭載していません。しかし使う人が少ないことと情報漏えいしないことはイコールではありません。実際にUSB接続のDVDドライブなどはよく見かけるデバイスで、そこまでかさばらずにバッグにも入るので、もし組織内でドライブによる書き込みを禁止していなければ、やりようによってはいくらでもファイルを持ち出せます。漏洩したデータ量によらず、制御から漏れること自体が被害につながるのが情報漏えいなので、こういったリスクを軽減するためにできれば書き込みドライブや書き込みソフトウェアも禁止してセキュリティホールを塞ぐべきです。
次は組織内部でよく見るプリンタです。実機のプリンタはすべて制御していて権限がないと印刷できないなどルールを敷いている組織もありますが、仮想プリンタの存在を忘れてはいけません。プリンタは数が増えると管理が疎かになりやすく、さらに仮想プリンタはインストール自体も簡単なので実機で印刷しなくとも簡単にデータを持ち出せます。こういったプリンタによる情報漏えいには印刷時のウォーターマーク・印刷ログ・印刷バックアップ・印刷枚数制限・仮想プリンタを禁止することなどで対応できます。
【仮想デバイス】
インターネットが普及して情報が流通しているこの現代において、特殊な仮想デバイスで組織のセキュリティ対策を抜けるものが使われることもあります。これら特殊な仮想デバイスの動作を何種類か紹介します。
仮想デバイスという名称に馴染めない人でもラズパイ(ラズベリーパイ)は聞いたことがあるかもしれません。これらのデバイスの特徴は、とにかくサイズが小さいことです。ポケットやバッグに入れても気づかれず、組織内に簡単に持ち込めます。技術の発達に伴ってラズパイの機能も多様化しており、外部記憶デバイス(Micro SDカード)、外部モニター、外部キーボード/マウス、WiFi…等にほぼ対応しています。
コンパイル技術を持つユーザなら、SSHコマンドでラズパイを組織内WiFiに接続できればデータを簡単に持ち出せます。組織内のセキュリティ対策が不十分な場合、このような行為には全く太刀打ちできません。特殊なデバイスは今後ますます増えていくので、対応するには根本的な行為から把握する必要があります。例えば、コマンドプロンプトやPowerShell方式などでの仮想デバイスへの命令を記録しておくと、監査や証拠として利用できます。
このタイプのデバイスは自身に小型のOSも搭載できるので、USBでPCに繋げばWindows OSに入る前からセキュリティソフトウェアを回避して仮想デバイスOSで起動して、好き勝手に操作できてしまいます。このタイプのデバイスはハードウェアデバイス比較で標準デバイスを設定して、それ以外のデバイスを検知した瞬間に禁止することである程度対応できます。
【管理制御方式比較表】
| 大容量 ストレージ |
MTP転送 | (HID) デバイス |
仮想ネットワークカード | Wi-Fi アクセスポイント |
外部OS 起動サービス |
ブート | Bluetooth 赤外線 |
|
| 制御方式 | 禁止または使用ログを記録 | 禁止または使用ログを記録 | 制御しない | ハードウェアデバイス追加禁止 | 未知のAPを禁止 | アドレスリンクログ | HDD 暗号化 |
デバイス 転送禁止 |
| USBメモリ SDカード |
〇 | |||||||
| スマートフォン | 〇 | 〇 | 〇 | 〇 | ||||
|
4G WiFi |
〇 | 〇 | ||||||
| Bluetooth 赤外線 リンクケーブル |
〇 | |||||||
| 他の特殊デバイス | ||||||||
| Teensy | 〇 | |||||||
| Bush Bunny | 〇 | |||||||
| Pi Zero (Windows) |
〇 | 〇 | ||||||
|
Ninja |
〇 ※ |
※キーボード入力を偽装してコマンドをコールするなど、コマンド実行ログの記録を推奨