• Facebookでこの記事をシェアする

ソリューション

進化する情報セキュリティ体制とデバイス管理
管理の最適化にツール導入のすすめ

今、企業で利用されるモバイルデバイスは、1人1台は当たり前で、複数台を所有する場合も珍しくありません。モバイルデバイスの管理に多くの時間と人員を割かれることが、企業にとって悩みのひとつでしょう。

社内のモバイルデバイスの数が多くなると、廃棄処分になったデバイスを安全に処分する一方で、管理外のデバイスと管理下のデバイスをもれなく迅速に区別することは容易ではありません。管理外のデバイスが企業ネットワークに接続されていないことを、技術的に担保する方法も問題になります。

外部からの攻撃者にとって、デバイスの数が増加することは、攻撃の入り口が増えることを意味します。

また、企業内ルールに反したデバイスを利用したために、脆弱性が発生する例もあります。

こうした状況を鑑み、情報セキュリティリスクを概観したうえで、モバイルデバイスのために増加の一途をたどる企業内のデバイスに対する最適な情報セキュリティ対策とは何か、特にデバイス管理ツールを利用する効果に焦点を当ててご紹介します。

企業を取り巻く情報セキュリティリスクとデバイス管理の有効性

企業をおびやかす情報セキュリティリスクは高まる一方です。そのようななか、デバイス管理は攻撃の入り口をふさぎ、リスクの防御として特に有効な手段です。

情報セキュリティリスクの種類をおさらいしつつ、デバイス管理について、以下に詳しく見ていきましょう。

企業の情報セキュリティリスクは大別すると2種類

「Webサイトの運用停止」「個人情報など重要な情報の窃取(せっしゅ)」「なりすましなどによる不正アクセス」など深刻な被害を引き起こす情報セキュリティリスクには、以下の2種類があります。

  • 内部不正

    内部でデバイスを不正に利用することにより引き起こされるリスクです。内部不正は、必ずしも意図して行われる不正行為とは限りません。ルールに沿わないデバイス利用全般が、内部不正にあたります。

  • 外部からの攻撃

    「ハッキング」「クラッキング」「マルウェアアタック」「標的型攻撃」などのサイバーリスクは、情報の破壊をもたらし、企業活動を妨害するだけではなく、企業イメージにもダメージを与えることがあります。

    さらに、2005年ころより話題となった「SQLインジェクション攻撃」も外部からのサイバー攻撃で、被害を受けた企業が増え続けています。

    加えて、こうしたサイバー攻撃を受け、改ざんされたWebサイトを利用した側にも不正なスクリプトを実行されてしまうなどの被害が出ます。

    オフィスでの業務を考えると、外部のWebサイトにアクセスしたうえで行わなければならない場面も多くあります。そのため、PCやスマートフォンなどの業務用デバイスで、攻撃を受け改ざんされたサイトにうっかりアクセスし、マルウェアを実行させてしまうような事態も生じるのです。

    デバイスへの直接的な攻撃・サイトへのアクセスにより被害を受ける場合の双方とも、管理下のデバイスの異常を検知し、通信を速やかに遮断できれば、他の端末に被害は広がらず、被害があっても1台のデバイスのみにとどめることが可能です。

情報セキュリティリスクに対応する際のポイント:デバイス管理の重要性

デバイスは「脅威の入り口」として知られています。そこで、企業ネットワークへの脅威の入り口であるデバイスの管理と、万が一攻撃された際にも被害を最小限にとどめることができる管理が必要になります。

対策として、デバイスに対するマルウェアアタックや、サイバー攻撃を受けたサイトからの被害、あるいは内部者によるデバイス不正利用に由来するセキュリティホールなどのため、脅威が迫る可能性があることを前提に、デバイス管理を徹底してリスクを下げます。

マルウェアに感染したデバイスがあった場合には即座に検出し、デバイスの接続された箇所を経路とする通信を遮断することによって脅威を最小限に食い止める必要があります。脅威を食い止めるのは異常を検知するツール・通信を遮断するツールやデバイスを企業ネットワークから切り離すツールです。

その上、会社で使うことを許可されていない端末は、それ自体がセキュリティホールとなり、マルウェア感染等のリスクが上がってしまいます。OSやセキュリティバッチがアップデートされていない、利用者の管理が不十分な端末についても同様です。

異常端末の検出、未承認端末や、利用者の管理が行き届かない端末からのリスクの排除がデバイス管理で行うべきことです。

このように、セキュリティ対策にはデバイス管理の徹底が意味を持ちますが、管理が徹底しているか検証をすることは、以下で説明する通り、手動で行うことが現実的とは言えません。

従来型のデバイス管理の問題点:手作業による不十分な管理が脅威を増大させる

従来型のデバイス管理では、下記のような問題点があります。

  • デバイスの数が多すぎると、人員の限界を超えてしまい、管理が十分ではなくなる
  • 「事前・リアルタイム・事後」のチェックができないと攻撃に十分な対策とはいえない

デバイス管理として、利用ログチェックや台帳管理と棚卸(たなおろし)を行い、さらに入室の際の持ち物チェック、抜き打ち検査など物理的点検に多くの工数をかけて行っているところもあるでしょう。現在、デバイスの数だけ、脅威の入り口は増えています。社員を動員しての手作業での管理では、追い付かない状況になっているのです。

管理外のデバイスが企業ネットワークに接続されていると、脅威の入り口の「穴」をふさげず、セキュリティ施策は効果を十分に上げることができません。

そこで、管理外のデバイスを排除するデバイス管理を正確・迅速に行い、徹底する必要があります。

ツールでデバイス管理を徹底!従来型管理の課題を克服

現在では、アプライアンス型ツールを活用することによって、デバイスの不正利用を検知し、即座に排除することが可能です。

IT・管理部門の人員に無理なくデバイス管理

アプライアンス型のデバイス管理ツールは、デバイスをつなぐだけで使用でき、台数の把握も簡単、台帳を作成してチェックするのも自動で行うことができます。

廃棄・購入承認などのワークフローシステムも連携可能なものがあり、購入時の固定資産管理~利用管理~廃棄まで、デバイスのライフサイクルをすべて網羅できます。

業務中でも速やかに管理状況をチェック

デバイス管理ツールを利用するとデバイスのチェックを大量のデバイスに対して迅速に行うことができます。その上、チェックはデバイスの利用中も行えますので、業務に影響が出ません。

業務中でもデバイスの定期棚卸によるチェックを行い、しかも、未承認・アップデート未了の端末の排除を自動で効率よく行うことができるツールを使うことは、セキュリティ施策として強力です。

手動よりもはるかに頻回・短時間で棚卸によるチェックができるうえ、人の手よりも綿密・正確に未承認端末等を排除できます。

ネットワーク防御に役立つ

デバイス管理ツールは、デバイスにとどまらずネットワーク全体を守る設計になっています。デバイスの切り離し・隔離ができるので、まさかのときにも被害を最小限に食い止めることができます。

ISOの認証・監査対策にも十分なエビデンスが提出可能

取引先やエンドユーザーの信頼を獲得するために、ISOやプライバシーマークの取得、または更新を望む企業では、モバイルデバイスを含む各種デバイスの運用管理やリスクアセスメントの場面で、十分なデバイスの管理をしている旨のエビデンスを作成、提出できるかということが課題となります。業務中でもデバイスの棚卸ができるようなツールがあると、これらの課題に対応できます。

デバイス管理ツールにより、内部不正・外部からの攻撃を十分検知・排除できる仕組みがあれば、「高度なセキュリティ体制」を技術面から構成する防御態勢があることを証明でき、各種認証が取得しやすくなります。

取引先が金融機関の場合には、取引先セキュリティ審査において、デバイス管理はかなり厳しく問われます。

その場合にも、ツール導入により、デバイスの台帳管理を行えていること、ツールのログも取り出せることを証明できれば、審査の際のエビデンス作成を正確に行える点や効率化できる点で認証取得に有利に働きます。

デバイス管理は「情報セキュリティの最前線にして最低限」攻撃・脅威の進化を視野に入れた対策を

企業をおびやかす情報セキュリティリスクにおいて、デバイス管理は脅威の入り口をふさぐため、特に有効な手段です。

1人1台を超える数のモバイルデバイスを扱う時代に突入し、企業内デバイスのライフサイクルごとの管理をすべて網羅するには手作業の限界を超えており、管理ツールを利用する必要があります。

例えば、「iNetSec SF」のようなツールを入れると、ネットワーク上のデバイスを自動的に検知し、網羅的・適切な管理が可能です。

ただし、ツールによってデバイス管理を徹底したとしても

  • ネットワーク内にいったん侵入した脅威の広がりまでは抑えられない
  • 攻撃も進化する
ことには留意しましょう。

つまり、サイバー攻撃の最新情勢とツールの進化に目を配りつつ、社内ネットワーク全体に向けた情報セキュリティ対策を行うことが必要です。入り口をふさぐだけでは対応できない攻撃もあり、デバイス管理とは違うタイプのツール導入も検討しておきましょう。