• RSSフィード
  • Twitterフォロー
  • iGoogleに追加

【 ここから本文 】

セキュリティ・マネジメント

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

セキュリティ・マネジメント

【解説】
企業を危うくするセキュリティ[NG]集

ささいなミスも命取りに――10の「やってはいけないこと」

(2008年06月11日)

セキュリティ・マネジメントのバランスをとるうえでは、いわゆる基本に立ち返ることも重要である。多大なコストとリソースをかけて守りを固めても、セキュリティ上の基本事項を軽視したことに起因する失策やミスなどを犯してしまえば、それまでの努力が水泡に帰することもありうるからだ。本稿では、そうした失策・過ち・ミスなどを「セキュリティ上のNG(No Good)」としてまとめ、代表的な解決策とともに紹介する。

Matt Hines
InfoWorld米国版

NG1:ささいな技術的慣行が情報漏洩のきっかけに

 一部のセキュリティ問題は、ささいな技術的慣行によって発生する。そのため、ふだんから注意を十分に払えば、問題を回避することもさほど難しくはない。にもかかわらず、そうした慣行の多くは依然として“放置”されたままだ。

画面1:オートフィル機能はMicrosoft Office製品にも採用されている。これは、同機能を使ってExcelのシートに日付を自動入力したところ

 例えば、「Microsoft Outlook」のオートフィル機能(画面1)はその1つだ。「あて先に“Eric Friendly”と入力したつもりだったのに、オートフィル機能が働き、“Eric Foe”あてにメールを送ってしまう。こうした経験はだれにでもあるだろう。もしメールに機密情報が含まれていれば、その時点でアウトなのは言うまでもない」と、米国Symantecのマーケティング/製品担当上級役員、スティーブ・ロープ(Steve Roop)氏は語る。

 多くのユーザーがオートフィル機能をオフにすれば、不注意によるデータ流出事故をかなり減らすことができるとRoop氏。同氏によると、情報漏洩の90%はメール送信時の不注意、すなわちオートフィルや暗号処理の失敗、利用ポリシーの理解不足などに起因する。したがって、オートフィルなどの機能を単にオフにするだけでも、多くのセキュリティ・インシデントを回避できるという。

NG2:情報入力を促すサイトに何ら疑問を持たない従業員

 パスワードや個人情報の漏洩は、企業のITシステムやネットワークへの攻撃を呼び、甚大な被害とともにその企業の名声を失墜させる。しかも、このような情報漏洩は、大抵は外部の人間ではなく社内のユーザーに責任がある。

 社内ユーザーの不注意に起因する漏洩事件が増えるにつれ、従業員向けにフィッシングやスパイウェア、偽サイトなどの仕組みを解説する社内教育が多くの企業で行われるようになった。しかし、それでも多くの従業員は、個人情報の入力を促されたらそれに安易に応じてしまうと、米国McAfeeのセキュリティ・リサーチ担当コミュニケーション・マネジャー、デイブ・マーカス(Dave Marcus)氏は指摘する。

 「人々は個人情報収集サイトの正当性に何ら疑いを持たない。そうした判断は、Webの世界では根本的に間違っているにもかかわらずだ」とMarcus氏。オンライン上で個人情報を詐取する最も簡単な方法は、本人に直接聞くことなのだ。

NG3:ビジネス・パートナーを信頼しきってしまう

 SymantecのRoop氏は、オートフィル機能をオフにするのと同じくらい簡単な漏洩対策として、メッセージの暗号化を挙げる。ふだんから信頼しているビジネス・パートナーやアウトソーシング業者にさえ、暗号化されていない電子メールを送るのは危険だと同氏は考えているのだ。

 Roop氏は、従業員がパートナーあてのメールに注意を払わないのは彼らの勝手な思い込みだと指摘する。

 「人材アウトソーシング会社の担当者が、機密データを含むExcelの表計算シートをどこかへ転送するはずはない、あるいはセキュリティ対策が施されていないノートPCに機密データを保存するはずがないと、彼ら(従業員)はふだんから思い込んでいる。そのため、メール・ベースで機密データをサードパーティと共有しているような企業は、こうした従業員の思い込みに十分注意しなければならない」(Roop氏)

NG4:セキュリティ・フィルタをバイパスするWebアプリが情報漏洩の“窓口”に

 企業のネットワークでWebメールをやり取りしたり、ファイル共有サービスを利用したりすることは、セキュリティ上きわめて危険な行為である。こうしたWebベースのアプリケーション(特にWebメール)は、企業のセキュリティ・フィルタをバイパスすることが多いからだ。その結果、外部からのウイルス/ワーム侵入を許し、組織全体に被害が及ぶ危険性が高まる。

 また、会社所有のノートPCを仕事のために自宅に持ち帰るといった行為も、セキュリティ・リスクを増大させる。そのノートPCで自宅から外部サイトにアクセスすれば、ウイルスに感染する可能性が社内アクセスに比べて格段に高まるのだ。そもそも、重要なデータを会社から持ち出せば、なくしたり盗まれたりするリスクも生じる。

 このようなリスクは、ほとんどはセキュリティ・ポリシーとシステム管理アプリケーションを利用すれば低減可能だ。例えば、仕事用のコンピュータにWebアプリケーションをインストールしない、リムーバブル・メディアにデータをコピーしない、VPN(Virtual Private Network)や暗号化チャネル上で安全なメール・クライアントを利用する、といったポリシーを従業員に徹底させるのである。

 |1234 > 次のページへ

関連記事

▲ページの先頭へ戻る

Enterprise Client Strategy 2010

【戦略的なクライアント管理でTCOの削減を――「Enterprise Client Strategy 2010」レポート

各セッションの講演レポート公開中!

注目のホワイトペーパー

NEC

仮想化環境の現状と課題――求められるのは高可用性

仮想化環境でも業務システムを止めないために

日立製作所

中堅中小企業が知っておくべきPC運用管理の勘所

〜運用コスト削減とセキュリティ強化を同時に実現するために〜

NRIセキュアテクノロジーズ

従来型の情報漏洩対策だけではもう限界!――本質を押さえた根本的な解決策とは

業務に支障なく、効率的かつ効果的なセキュリティ

日立製作所

中堅中小企業が押さえておきたいIT管理の重要ポイント

〜経済情勢の変化や顧客ニーズの多様化に柔軟に対応するために〜

日立製作所

中堅中小企業の経営基盤強化を支えるIT統合管理

〜コンパクトでスピーディな経営の実現のために〜

Computerworld Special

シンプルな運用管理が仮想化環境リソースを最大活用に導く

仮想化からクラウドまで、シームレスな運用管理を実現

仮想化環境だからこそ求められる高可用性 CLUSTERPROなら停止要因の約90%に対処可能

複雑化する仮想化環境の課題に対する“最適解”

Computerworld BLOG

進化するビジネス・モバイル

トレンド最前線

注目されるビジネス・モバイルPCの市場動向を探る

WiMAX搭載モバイルPCの実力

モバイルWiMAXを取り巻くワイヤレス・ネットワーク環境の現状

インテル vProテクノロジーで実現する“鉄壁ビジネス・モバイル”

モバイルPCが抱えるセキュリティの課題とは

最新モバイルPCとWindows 7で実現するビジネスの堅牢性

Windows 7 Enterpriseが提供する企業向け機能を徹底紹介

Weekly Ranking

集計期間:03/07〜03/13

関連ニュース(提供:トレンドマイクロ、日立システム)

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国