【 ここから本文 】

システム脆弱性

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

【解説】
企業を危うくするセキュリティ[NG]集

ささいなミスも命取りに――10の「やってはいけないこと」

(2008年06月11日)

セキュリティ・マネジメントのバランスをとるうえでは、いわゆる基本に立ち返ることも重要である。多大なコストとリソースをかけて守りを固めても、セキュリティ上の基本事項を軽視したことに起因する失策やミスなどを犯してしまえば、それまでの努力が水泡に帰することもありうるからだ。本稿では、そうした失策・過ち・ミスなどを「セキュリティ上のNG(No Good)」としてまとめ、代表的な解決策とともに紹介する。

Matt Hines
InfoWorld米国版

NG1:ささいな技術的慣行が情報漏洩のきっかけに

 一部のセキュリティ問題は、ささいな技術的慣行によって発生する。そのため、ふだんから注意を十分に払えば、問題を回避することもさほど難しくはない。にもかかわらず、そうした慣行の多くは依然として“放置”されたままだ。

画面1:オートフィル機能はMicrosoft Office製品にも採用されている。これは、同機能を使ってExcelのシートに日付を自動入力したところ

 例えば、「Microsoft Outlook」のオートフィル機能(画面1)はその1つだ。「あて先に“Eric Friendly”と入力したつもりだったのに、オートフィル機能が働き、“Eric Foe”あてにメールを送ってしまう。こうした経験はだれにでもあるだろう。もしメールに機密情報が含まれていれば、その時点でアウトなのは言うまでもない」と、米国Symantecのマーケティング/製品担当上級役員、スティーブ・ロープ(Steve Roop)氏は語る。

 多くのユーザーがオートフィル機能をオフにすれば、不注意によるデータ流出事故をかなり減らすことができるとRoop氏。同氏によると、情報漏洩の90%はメール送信時の不注意、すなわちオートフィルや暗号処理の失敗、利用ポリシーの理解不足などに起因する。したがって、オートフィルなどの機能を単にオフにするだけでも、多くのセキュリティ・インシデントを回避できるという。

NG2:情報入力を促すサイトに何ら疑問を持たない従業員

 パスワードや個人情報の漏洩は、企業のITシステムやネットワークへの攻撃を呼び、甚大な被害とともにその企業の名声を失墜させる。しかも、このような情報漏洩は、大抵は外部の人間ではなく社内のユーザーに責任がある。

 社内ユーザーの不注意に起因する漏洩事件が増えるにつれ、従業員向けにフィッシングやスパイウェア、偽サイトなどの仕組みを解説する社内教育が多くの企業で行われるようになった。しかし、それでも多くの従業員は、個人情報の入力を促されたらそれに安易に応じてしまうと、米国McAfeeのセキュリティ・リサーチ担当コミュニケーション・マネジャー、デイブ・マーカス(Dave Marcus)氏は指摘する。

 「人々は個人情報収集サイトの正当性に何ら疑いを持たない。そうした判断は、Webの世界では根本的に間違っているにもかかわらずだ」とMarcus氏。オンライン上で個人情報を詐取する最も簡単な方法は、本人に直接聞くことなのだ。

NG3:ビジネス・パートナーを信頼しきってしまう

 SymantecのRoop氏は、オートフィル機能をオフにするのと同じくらい簡単な漏洩対策として、メッセージの暗号化を挙げる。ふだんから信頼しているビジネス・パートナーやアウトソーシング業者にさえ、暗号化されていない電子メールを送るのは危険だと同氏は考えているのだ。

 Roop氏は、従業員がパートナーあてのメールに注意を払わないのは彼らの勝手な思い込みだと指摘する。

 「人材アウトソーシング会社の担当者が、機密データを含むExcelの表計算シートをどこかへ転送するはずはない、あるいはセキュリティ対策が施されていないノートPCに機密データを保存するはずがないと、彼ら(従業員)はふだんから思い込んでいる。そのため、メール・ベースで機密データをサードパーティと共有しているような企業は、こうした従業員の思い込みに十分注意しなければならない」(Roop氏)

NG4:セキュリティ・フィルタをバイパスするWebアプリが情報漏洩の“窓口”に

 企業のネットワークでWebメールをやり取りしたり、ファイル共有サービスを利用したりすることは、セキュリティ上きわめて危険な行為である。こうしたWebベースのアプリケーション(特にWebメール)は、企業のセキュリティ・フィルタをバイパスすることが多いからだ。その結果、外部からのウイルス/ワーム侵入を許し、組織全体に被害が及ぶ危険性が高まる。

 また、会社所有のノートPCを仕事のために自宅に持ち帰るといった行為も、セキュリティ・リスクを増大させる。そのノートPCで自宅から外部サイトにアクセスすれば、ウイルスに感染する可能性が社内アクセスに比べて格段に高まるのだ。そもそも、重要なデータを会社から持ち出せば、なくしたり盗まれたりするリスクも生じる。

 このようなリスクは、ほとんどはセキュリティ・ポリシーとシステム管理アプリケーションを利用すれば低減可能だ。例えば、仕事用のコンピュータにWebアプリケーションをインストールしない、リムーバブル・メディアにデータをコピーしない、VPN(Virtual Private Network)や暗号化チャネル上で安全なメール・クライアントを利用する、といったポリシーを従業員に徹底させるのである。

 |1234 > 次のページへ

関連記事

▲ページの先頭へ戻る

注目のリポート/ホワイトペーパー

「2カ月以内に3社のシステム統合を完遂せよ」――難題に応えたのはマネージドホスティング

“ビジネス変化への俊敏な対応”を地で行ったユーザー事例に学ぶ

情報起点のビジネスを目指して

情報管理戦略のベスト・プラクティス

Windows Server 2008 対応製品(ソフトウェア関連)

SOA/BPM 関連製品

注目のトピック

新時代のサーバ統合[New]
戦略的サーバ統合でIT基盤を最適化する
事業継続マネジメント(BCM/DR)[New]
万全のBC/DR基盤を構築し企業の信頼を高める
マルチコア・コンピューティング[Update]
ITインフラを最適化しパワーを最大限に生かす
グリーンITの戦略的価値
“環境マネジメント”の視点でITを最適化する
仮想化の“真実”
IT革命を支えるテクノロジー
データセンター革新
次世代ITインフラをいかに構築すべきか
ビジネス・インテリジェンス最新事情
組織と“個”の知的生産性を高める
セキュリティ・マネジメント[戦略と実践]
内外の脅威から企業を守る
「Windows Server 2008 World」
新世代プラットフォームの実力を探る
コンプライアンス総点検
法令順守の実態を把握し、万全の対策を!
SOAがITを変える
企業はどう備えるべきか
ITIL活用最前線
ITILでビジネスとITを変える
データ・マネジメント
新時代の情報/データ管理基盤を構築するために

Weekly Ranking

集計期間:08/29〜09/04

トピック一覧

ニュース特集

セキュリティ

ソフトウェア&サービス

経営/業務改革

ITマネジメント

データ・マネジメント

プラットフォーム

IT基盤技術

ハードウェア

ネットワーキング

トレンド

IT業界動向

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国