働き方が変化する現代では、場所や時間を問わず、常にPCやタブレット端末などのデバイスの徹底した保護が求められる。情報漏えい対策ソリューションを主事業とするワンビの加藤貴社長が「ヒヤリングしてわかった!? 金融、医療、学校に合わせたエンドポイントセキュリティ対策とは」と題して講演。企業へのヒヤリングから、今最も必要とされる対策を新しい発想で開発したという、同社の新ソリューションをデモを交えて紹介した。

働き方を変えるITが脅威に

201702061753_1.jpg

加藤 貴
代表取締役社長

 政府が推進する「1億総活躍社会」の実現には、さまざまな人が社会参画できる環境に加え、イノベーションを生み出す環境が必要だ。

 「それにはデジタルトランスフォーメーション、つまりデジタルやITの力を活用して、時間や場所に縛られず、働き方を変えることで生産性を向上し、新しいものを創っていくことが欠かせない」と加藤社長は強調する。

 情報の入り口となるエンドポイントデバイスの市場をみると、2016年はPCが5半期ぶりに増加した。それを牽引しているのが法人市場で、一人が社内、外出先、自宅など、利用シーンに応じて2台、3台を使用するケースも増えてきたことも一因である。また、Microsoft Surfaceに代表される2in1タイプも増えている。

 こうしたエンドポイントデバイスの利用増加に合わせて必要となるのが、情報漏えい対策。その対策の指針として米国の国立標準技術研究所(NIST)が策定したセキュリティフレームでは、攻撃されないこと、攻撃時に被害を最小限に抑えることに加え、とくに重要なのが問題発生時の事後対応だとする。現実的に、攻撃を完全に防ぐことはできないことを前提に対応を考えることがセキュリティ業界では常識になっている。

 加藤社長は、「今の攻撃者は金銭目的のプロで、ランサムウェアなどはその典型。9割の企業、政府機関、個人が攻撃を受けている。踏み台、DDoS、標的型、ぜい弱性など、手段はさまざまで巧妙だ。最近、問題になった監視カメラからの侵入もその一部に過ぎない」と説明する。

 こうした外部からの攻撃と並び、もう一つの大きな漏えい原因が内部から情報が持ち出されるケースだ。これには意図的な持ち出しだけでなく、紛失、不明、盗難、強奪も含まれる。企業としての生産性を高めることを目的とする活動、デジタルデバイスの活用が漏えいを引き起こす要因にもなっているのである。

 日本ネットワークセキュリティ協会(JNSA)の報告書(2015年)では、情報漏えいの原因をみると、トップが紛失・誤廃棄、次にメールの誤送信などの誤操作で、その二つで55%を占める。一方、不正アクセスやウイルスは合わせて10%以下だ。

利便性とセキュリティを両立した対策

 ワンビでは、同社のソリューションを導入した各分野の企業50社を実際に訪問し、ヒアリングを実施した。導入のきっかけは、就業規制の改革、システムの改革(新デバイスの導入など)、社会信用の改革(自社/他社のセキュリティ事故の影響)だという。

 各業界では、制度変更や業務の変化が進行している。文教分野では、文部科学省が20年から全国の小・中学校と高校でデジタル教科書を導入する方針を示した。医療分野では、医師不足のために自分の所属する病院から、他の病院に医師が出向くケースが増え、医療データを持ち歩くことが多くなっている。医薬も営業担当(MR)が治験データを持ち歩くし、金融も同様に営業が個人情報を持ち歩いている。

 加藤社長は、「個人情報を保有する企業は、セキュリティ上の課題を抱えている。一方、ITを活用した業務改革を進めていくなかで、セキュリティ対策の強化はデバイスなどの使い勝手を阻害し、足かせになりかねない」と問題点を指摘する。

 エンドポイントのセキュリティでは、Windows 10になってかなり向上した。それでもネットワークにつながっていない場所でのセキュリティには、まだ課題が多いという。「こうした場所でのエンドポイントにふさわしい対策は、特定の場所、条件のもとでは自由にデバイスを使用できながらも、それ以外の場所や規定外の使い方をすると確実にセキュリティが働くようにすることだ。使い勝手を損なわず、セキュアなデバイスの活用が可能になる」と加藤社長は訴えて同社のソリューションを紹介した。

 まず、主力製品で遠隔データ消去製品の「TRUST DELETE Biz」。盗難・紛失など、外部に持ち出したデバイスに保存されている個人情報や機密データを、遠隔から消去できる。一定期間ネットワークに接続していないデバイスのロックも可能だ。

 不正利用監視製品「OneBe UNO」は、デバイスにインストールするスタンドアローン型の製品で、ネットワークの状況や位置情報、電源の接続を監視し、利用ポリシーに違反した状況を検知すると、アラームやデバイスのロック、強制シャットダウンで、不正利用や不正持出を防止する。

 「扱うデータの種類に応じたセキュリティ対策を施すことが重要で、当社では適材適所に応じた製品を開発している」と加藤社長。最後には、「ITは道具に過ぎない。ワークスタイルの変革で働き方の自由度が増した分、セキュリティの脅威も増えている。だが、社員は企業のためにITを活用している以上、社員を脅威から守ることは企業の責務」と訴えた。