ゼロトラストセキュリティが必要な理由
1.マルウェア対策
マルウェア対策製品を導入するだけでなく、「エンドユーザーがマルウェア対策製品をアンインストールしてしまった」という万が一の事態を想定する必要がある。その備えとして、マルウェア対策製品がインストールされていないデバイスを検知し、管理者に通知する仕組みを用意するのが望ましい。
2.遠隔データ消去、遠隔ロック
デバイスが第三者の手に渡った場合を想定して、まずやるべきことは情報漏えい対策だ。この場合は遠隔地からデータを削除したり、デバイスをロックして使えなくしたりする仕組みが有効な対策になる。
盗難か、紛失かが分からない時点でデータを消去してしまうと、結果的にデバイスが見つかった後で業務に大きな支障が生じる可能性がある。状況が分からない場合は、まずロックをかけてしばらく様子を見ておき、デバイスが手元に戻ってこないという確証を得てからデータ消去を考えることをお勧めする。
情報漏えい対策が最優先ではあるものの、できればデバイスを取り戻す手段も考えた方がよい。デバイス管理製品の中には、デバイスの位置情報を管理して現在地を探し、回収を支援するサービスもある。
3.ストレージの暗号化
デバイスへの不正アクセスを狙う第三者が、簡単にデータにアクセスできないようにする仕組みとしては、まずストレージの暗号化を検討すべきだ。この技術は広く普及しており、さまざまな企業で利用実績がある。
ただし「HDD暗号化」などの「フルディスク暗号化」は次の点に注意を払う必要がある。フルディスク暗号化はOSを含めてストレージ内のデータを暗号化するので、電源を落とした状態からデバイスを立ち上げる際に認証を求める。つまりOSが起動した状態(スリープモードも含む)でデバイスが第三者の手に渡ってしまうと意味がない。たとえIT部門が「デバイスを持ち歩く際には、必ずシャットダウンをするように」と注意喚起をしたとしても、現実にはその手間を嫌ってスリープモードで持ち歩くエンドユーザーはいる。ストレージ暗号化製品は、遠隔データ消去やロックの仕組みと併用することをお勧めする。
遠隔データ消去やロックの仕組みだけでは不十分だ。悪意ある第三者が、紛失デバイスからストレージを抜き出して別のデバイスで操作する場合を想定すると、ストレージ暗号化製品を併用した方がよい。
4.BIOSパスワード、OSパスワード
デバイスへのアクセスに制限をかける基本的な方法には、BIOSパスワードやOSパスワードの設定がある。ただしBIOSパスワードもフルディスク暗号化と同様に、OSのスリープモードで第三者の手に渡った場合は意味がなくなるので、設定したからといって安心はできない。
ユーザビリティの問題も考慮が必要だ。BIOSパスワードを設定し、ストレージ暗号化まで施したデバイスは、デバイスの電源を入れてOSを立ち上げるまでに「BIOSパスワード」「暗号化パスワード」「OSパスワード」の最大3つを入力する必要が生じる。これはエンドユーザーにとっては煩わしい運用になる。一般的にセキュリティと利用者の利便性は相反するため、導入時はバランスを見極める必要がある。BIOSパスワードを設定するならば、保護すべき情報の重要性やエンドユーザーの利便性、前述した注意点を考慮して検討するのが望ましい。
IT管理者はセキュリティを強固にしたいがために、暗号化やパスワードのルールを複雑に設定する場合がある。エンドユーザーにとっては、ルールが複雑であればあるほど覚えにくく、不便になる。その結果、ルールやパスワードを手帳に記入してデバイスと一緒に持ち歩いたり、パスワードを付せんに記入してデバイスに貼ったりするケースが発生する恐れがある。こうした不適切な運用を完全に防ぐことはできない。暗号化を含むパスワード設定をしたとしても、それだけで十分だとは考えない方がよい。
5.外部記憶媒体の利用制限
「メールの添付ファイルを開いた」「不適切なWebサイトを閲覧した」に次ぐ、代表的なマルウェア侵入のきっかけは「外部記憶媒体の利用」だ。USBポートのロックやSDメモリーカードの制御などを実施し、外部記憶媒体からのマルウェア感染に対策する。デバイス管理製品の中には、USBポートやSDメモリーカードのポートを利用不可にする機能を持つものがある。
利用デバイスやOSの種類を網羅する製品の組み合わせが鍵
企業で利用するデバイスのOSは、「Windows」「macOS」「iOS」「Android」「Chrome OS」などさまざまなものが混在している。デバイス管理製品を導入する場合は、前述のセキュリティ要件に加えて、対応OSも考えなければならない。この記事で触れた1〜5の機能を全てのOSで利用できる製品は、今のところ存在しない。自社が使用するデバイスの運用形態(どのデバイスをテレワークで利用するか、など)を考慮して、理想に近い製品を選択する必要がある。
複数の製品を組み合わせて、最も強固だと考えられる対策を施したとしても、人間が利用する限り「100%安全な仕組み」は構築できない。セキュリティ製品だけでなく、従業員のモラル維持と向上のための対策も併せて考えることが必要だ。
この連載について
新型コロナウイルス感染症(COVID-19)の対策としてテレワーク体制に移行することになったものの、VPN(仮想プライベートネットワーク)やVDI(仮想デスクトップインフラ)のリソースを十分に用意できなかったために「通信がつながりにくい」「動作が重い」などの不満に直面した企業は少なくない。本シリーズは「テレワーク(特に在宅勤務)を前提にしたデバイス管理のベストプラクティス」をテーマに、テレワークを長期的に継続する上での技術的課題や不満の解消に役立つ情報を紹介。現状の課題整理、課題の解決と必要なシステム、支援ツールの情報などを整理する。
田北幸治(たきた・こうじ)
大学院修了後、外資系コンピュータベンダーで金融機関向けシステムエンジニア(SE)、営業を経験。その後IT企業を立ち上げ、ソフトウェア事業を展開。外資系ソフトウェア企業の日本代表を経て、2015年にエンドポイントセキュリティやエンタープライズモビリティー管理(EMM)に特化した製品を扱うアイ・ビー・シーを立ち上げる。