クラウドへの経路制御で共有ファイルを守る
以前はモバイル化を推進するにしても、多くの企業では重要なファイルを社内のファイルサーバーに置き、社外からはVPN(Virtual Private Network)を利用してアクセスするケースが多かった。しかし、クラウド化の進展により、前述の通りに重要なファイルでも社外に置くケース避けられなくなってきている。
対策の一つが、デバイスを企業内で把握し、クラウドサービスの利用を制限するということ。
「管理下にあるデバイスなら、プロキシーを指定して、クラウドサービスにアクセスするときの経路を管理できる。プロキシーを通ったデバイスしかクラウドサービスにアクセスさせないため、セキュリティー対策につなげることができる」と語るのは、アルプスシステムインテグレーション(ALSI)セキュリティ事業部ビジネス企画部企画営業課の松田尚史氏。同社は、デバイスからのアクセス経路を限定することによるセキュリティー対策に注力している。これにより、企業が契約したクラウドサービス以外は使わせないという制御が可能になり、シャドーIT化の抑制にもつなげることができる。
アルプスシステムインテグレーション(ALSI)
ここで用いるプロキシーは、クラウド上に置いた「クラウドプロキシー」である。モバイル環境でも有効に機能するため、「出ていく口が一つになる」と松田氏。出口を絞ることで利用範囲を制限し、セキュリティー対策につなげている。
共有ファイルを追跡し遠隔での削除も可能
働き方改革への取り組みにより、モバイルワーカーが増えているとはいえ、現時点では一部業務での採用に限定されていることも多いとみられる。「必要だと認識しつつも、モバイル活用に不安を抱いているため、モバイルワークは一部の部門での採用にとどまっている企業が多い。とはいえ、働き方改革の推進は今後も続くため、モバイルワークの適用範囲拡大は避けて通れない状況にある。そのため、モバイル環境に対するセキュリティー対策は、今後ますます必要とされる」と、デジタルアーツの足立真彦・マーケティング部FinalCode課課長補佐はモバイルセキュリティーの現状を説明する。
モバイルデバイスの管理といえば、MDM(Mobile Device Management)やMAM(Mobile Application Management)、VPNでのアクセス制限、シンクライアントなどが採用されてきた。シンクライアントはデバイスにファイルが残らないため、セキュリティー対策としては有効だが、IDとパスワードを使用した“正規ルート”から漏えいする不安は残る。悪意をもった個人がアクセスすれば、個人のメールアドレスに添付して送ることができるし、社外であれば画面を写真で撮るような行動も気兼ねなくできてしまう。
デジタルアーツでは、ファイル暗号化・追跡ソリューション「FinalCode」を使い、重要なファイルに利用制限をかけるセキュリティー対策を推進している。FinalCodeは、DRM/IRM(Digital Rights Management/Information Rights Management)製品であり、ファイルを暗号化で守り、追跡し、利用履歴などのログ管理ができる。さらに、閲覧可能な期間を指定できるほか、渡したファイルを遠隔で削除することも可能。デバイスではなく、ファイルそのものを守るという発想である。ちなみに、FinalCodeはiOSやAndroidのモバイルOSに対応しており、専用アプリをダウンロードすることで、FinalCodeの管理下にあるファイルを利用できるようにしている。
このほかデジタルアーツでは、クラウドストレージなどを制御する「i-FILTER」を提供している。ゲートウェイ型で、掲示板の書き込みなどもログに残すことができるため、社員の行動の抑制にも貢献する。
「働き方改革で、BYODの採用は確実に増えていく。そこではエンドポイントのセキュリティー対策が重要になる。今後は、i-FILTERのようなゲートウェイ型のサービスが必要とされる」と、デジタルアーツの遠藤宗正・マーケティング部i-FILTER課兼FinalCode課課長プロダクトマネージャーは語る。
デジタルアーツの遠藤宗正・マーケティング部
情報漏えいが許されない重要な共有ファイルを守る
BlackBerryも、重要な共有ファイルを守るという観点でセキュリティー対策製品を提供している。
「基本方針は、データをいかに守るか。たとえファイルが流出しても、対応可能なソリューションを提供している」と、BlackBerryの五木田憲男カントリーマネージャーは語る。同社は社内の共有ファイルに加え、社外のパートナーなどに送付する「外向きの共有ファイル」を対象としたセキュリティー対策にも注力している。それが「BlackBerry Workspaces」である。DRM/IRMを活用したコントロールにより、遠隔操作で削除したり、閲覧不可にしたりといったことができる。暗号化や電子透かしにも対応するなど、重要な共有ファイルを守ることに徹しているのが特徴だ。ただし、同社では全てのファイルを管理の対象にしようとは考えていない。
(右から)BlackBerryの五木田憲男カントリーマネージャー、
「価値の高い重要なデータを対象にすることを考えている。全てを対象とするのは、社員の利便性を損なう可能性があるし、運用コストを上げる要因になりかねない」と五木田カントリーマネージャー。ファイルサーバー用途としての活用も可能で、全ファイルを管理下に置くことができるものの、漏えいリスクを考慮する必要のないファイルに関しては、運用管理などの観点から、対象外と考えている。そのため、「漏えいリスクの対処が必要で、外部と共有するようなファイルを抱えている企業や団体に提案しやすい」と、多田昌広・エンタープライズ・アカウント・マネージャーは語る。製造業での図面データ、医療現場での診療データ、企業間のコンフィデンシャルな文書などでの利用が想定される。ちなみに、「更新があるごとにバージョンを自動で管理するため、ランサムウェアなどの対策にもなる」(高梨義彦・プリンシパル・テクニカル・ソリューション・マネージャー)という。
モバイルデバイスメーカーのイメージが強いBlackBerryは、セキュリティーソリューションのベンダーになり、V字回復に成功したことで話題となった。現在販売されているAndroid版のスマートフォンは、ブランド貸しによるもので、同社が開発した製品ではない。同社は、デバイスメーカー時代のノウハウを生かし、モバイルセキュリティーソリューションの提供に注力している。
社員の利便性を重視 端末は自由に使わせる
モバイルセキュリティー対策では、多くの場合、社員が利用するクラウドサービスを制限したり、ファイルの利用に専用ソフトを必要としたりする。企業側でデバイスや社員をしっかり把握するには、それがやりやすい方法だが、「それではデバイスが多様化している時代に対応できないし、自分のデバイスから手軽に使いたいというニーズに応えられない」と、マカフィーの露木本部長は語る。
マカフィーでは、セキュリティーサービス「McAfee Cloud Security Suite」で提供している「CASB(Cloud Access Security Broker)」製品により、クラウドサービス上のデータやワークロードを可視化。ポリシー違反へのリアルタイムなアクションによるデータ保護に取り組んでいる。同サービスは、クラウドサービス自体を監視するため、社員が利用するデバイスに対し、エージェントや閲覧ソフトウェアなどの導入が不要で、プロキシーなどの設定も必要としない。デバイス自体を企業の管理下に置くことがないため、社員がスマートフォンを変更しても対応できる。社員も自身のデバイスが会社の管理下に置かれるという不満を抱くことがない。
「セキュリティー対策で重要なのは、可視化と制御。オンプレミスの環境では、それが100%できる。ところが、クラウドでは、オンプレミスのようにはいかない」と露木本部長。クラウドサービスのAPIを利用し、企業が利用するクラウドサービスをリアルタイムで監視すれば、オンプレミスと同等の可視化と制御が可能になる。
共有ファイルのセキュリティー対策として、ファイルのアップロード禁止やメールの添付ファイル禁止などもあるが、どうしても利便性とのトレードオフになりがちだ。働き方改革の推進にとって、自由度の高さは重要なキーワード。働き方改革におけるセキュリティー提案のポイントの一つである。
想定外の場所に存在する個人情報を自動で削除
どんなに強固なセキュリティー対策を施しても、内部の社員に悪意があったら共有ファイルを守ることはできない。ログ管理により、犯人を突き止めることはできるが、漏えいした情報は回収できない。
「内部の社員に悪意があったら、どんなに頑張っても難しい。教育しかない」とワンビの加藤社長。共有ファイルを暗号化しても、使用中は暗号化が解かれている。同様に、共有ファイルを使用する以上、抜け道はいくらでもある。
ワンビはこれまで、PCメーカー向けに遠隔操作によるファイル消去などのソフトを提供してきている。PCの紛失時には有効だが、利用者に悪意があれば、やはりファイルを守ることは難しい。そこで現在取り組んでいるのが、個人情報を含むファイルが管理外の場所に置かれている場合に遠隔で消去するというエージェント型のソフトウェア。マイナンバーなどの個人情報を対象とし、年内の提供を目標に開発を進めている。個人情報に絞ることで、内部の社員に悪意があっても、ある程度の対応を可能にする。
働き方改革の推進やクラウドサービスの普及により、セキュリティー対策の重要性が増す共有ファイル。ユーザー企業の決裁者にも理解しやすい分野だけに、ここをきっかけとして、深い関係につなげていくことが期待できる。
