働き方改革を追い風に、多くのITベンダーが業績を伸ばしている。業務の効率化や省力化は、ITが得意とする分野。ほとんどのソリューションが働き方改革に結び付くことになる。中でもモバイルワークやテレワークの採用などによるワークスタイルの見直しには、多くのユーザー企業が取り組み、関連ソリューションが大いに注目を集めた。そこで、働き方改革を追い風に放つ第二の矢、である。モバイルワークの普及で見えてきた新たなニーズとして、共有ファイル起点でのモバイルセキュリティー対策を提案したい。(取材・文/畔上文昭)
セキュリティーの提案はドアノックツールとなる
セキュリティー対策は、新規顧客を開拓するドアノックツールとして有効だ。経営者やシステム管理者にとって、情報漏えいは何としてでも防ぐべき課題であり、IT投資としても必要性を認識しやすい。まずはセキュリティーの提案から入り込み、基幹システムの構築へと関係を深めていくのは、営業戦略として珍しいことではない。
ただし、セキュリティー対策は、今に始まったものではないため、今さらドアノックツールとして機能するのかと思われるかもしれない。海外と比較して、日本企業はセキュリティー投資が少ないといわれるが、正確な情報を表に出さないという国民性を加味しなければいけない。過去、世界的に猛威を振るったワームの感染報告などをみると、日本企業の被害件数は少ない傾向にある。たとえセキュリティー対策の投資金額が小さいとしても、適材適所でIT資産を守っていると言える。そのため、セキュリティー対策の提案には、きっかけが必要だ。
ワンビ
ユーザー企業がセキュリティー対策に注目するきっかけとして、一般的には大きな情報漏えい事件や、猛威を振るうワームの登場などが考えられる。ただ、それを待っていては、提案のタイミングをつかめない。そこで、世の中のトレンドを捉えることで、ユーザー企業の琴線に触れる提案を進めてみてはいかがだろうか。
まずは、働き方改革。この取り組みにより、モバイルワーカーが増えた。もう一つは、Windows 7のサポート終了(EOS)をきっかけとするクラウドサービスへの移行。中でも、Windows 7のEOSによって、マイクロソフトのクラウドサービス「Office 365」の採用が増えると考えられる。この二つを考慮すると、守るべきデータとして「共有ファイル」の存在がクローズアップされてくる。
クラウドネイティブな共有ファイルが危ない!
「共有ファイルを守ればいい」。ワンビの加藤貴社長は、社員が利用する環境からの情報漏えいに対するセキュリティー対策のポイントとして、共有ファイルを守ることの重要性を語る。
「会社として守らなければいけないものは何かを考慮すると、共有ファイルに行きつく。社員個人がローカルで使用しているようなファイルは、自身で管理すべきだし、責任も明確にしやすい。ところが、グループやチームで利用していて、業務に不可欠な共有ファイルは、企業としてセキュリティー対策を考慮する必要がある」
共有ファイルは、次の三つが主な格納場所となる。一つは、社内のネットワーク上に置いたファイルサーバー。最も伝統的な共有ファイルの置き場所である。社内ネットワーク上のファイルサーバーは、アクセス権の設定やログ管理などがしやすく、共有ファイルの活用に適している。二つめは、グループウェアなどの業務システムが提供する共有スペース。共有ファイルの活用を目的とした機能が提供されるため、一般的にファイルサーバーよりも運用しやすい。三つめは、クラウド上の共有ストレージ。クラウドサービスは、時代の流れもあり、採用するケースが増えていくことは想像に難くない。
マカフィー
ただし、クラウド活用で便利になったのはいいが、問題はセキュリティーである(図1)。「モバイルデバイスからクラウドにアップロードされたデータは、これまでセキュリティー対策として導入していたファイアウォールやプロキシーなどでは守れない。ここが意外と認識されていない」と指摘するのは、マカフィーの露木正樹・クラウドソリューション営業本部本部長である。クラウド環境においては、社内ネットワークを中心に考えていたセキュリティー対策では見逃しがちなポイントが数多い。モバイルデバイスからアップロードされたデータだけでなく、クラウド内で作成されたデータや、クラウドサービスから別のクラウドサービスにコピーしたデータなども、ネットワークセキュリティーでは認識できない。
また、グループでスケジュールを管理するに当たり、クラウドサービスのカレンダーアプリを採用しているケースでは、ファイルのアップデートが可能なサービスであれば、そこから共有ファイルが漏えいしてしまう可能性がある。「会社でファイルの持ち出しを禁止していたが、自宅で作業をするために、カレンダーアプリでアップロードしていたというケースが実際にあった」と露木本部長は話す。こうした点は、ユーザー企業にセキュリティー対策を提案するに当たっての重要なポイントとなる。
クラウド&モバイル環境はシャドーIT化しやすい
クラウドサービスは、場所とデバイスを選ばず利用できるため、社員個人が所有するスマートフォンからのアクセスを許す企業が多い。いわゆる「BYOD(Bring Your Own Device)」の一種である。このケースの問題は、個人で利用しているアプリやクラウドサービスを企業で管理するのが難しいということ。例えば、企業が契約しているクラウドサービスを社員が使いにくいと判断すれば、個人で契約しているクラウドストレージに共有ファイルをコピーするということになりかねず、これまでのセキュリティー対策では管理しきれない。クラウドサービスをどのように活用しているかが把握できない、企業が管理していないクラウドサービスを利用するといった「シャドーIT化」が進むというわけだ。
「今までは会社で管理しているデバイスを使わせるというのが、一般的な考え方だった。ところが、高性能なスマートフォンやタブレットが普及したこともあり、個人所有のデバイスから企業が契約したクラウドサービスへアクセスを許可するケースは多い。その割合は、当社の調査で87%になる。つまり、管理できていないデバイスから、重要な情報にアクセスしているということ。これまではプロキシーやファイアウォールで対応してきたが、個人所有のモバイルデバイスでは機能しない。クラウドを使うほど、ゲートウェイでのセキュリティー対策は陳腐化していく。これが真実」と露木本部長。クラウドとモバイル環境を意識したセキュリティー対策が求められる。
責任共有型モデルという知られざる危険性
クラウドサービスは通常、強固なセキュリティー対策が施され、オンプレミスよりも安全とされることがある。それは間違いではないが、全ての責任をサービス提供者(事業者)側が負ってくれるわけではない(図2)。
「クラウドサービスのセキュリティー対策では“責任共有型モデル”を意識しなければいけない」と露木本部長。責任共有型モデルとは、サービス提供者側と利用者側の責任の範囲を明確化したもの。IaaS系のサービスで話題になることが多いが、SaaSでも利用者側の責任範囲が狭くなるものの、同様の考え方がある。一般的にSaaSでは、IDとパスワードを利用してログインした場合の操作については、サービス提供者側は責任を負わない。この観点からも、共有ファイルのセキュリティー対策を認識しておく必要がある。
[次のページ]クラウドへの経路制御で共有ファイルを守る
