テレワークで懸念される情報漏洩。対策としてクラウドストレージの効果とは?|サイバーセキュリティ.com

テレワークで懸念される情報漏洩。対策としてクラウドストレージの効果とは?



 セキュリティが重要視される今、守るべきものを改めて考える

一昔前までは、サイバー犯罪といえば、愉快犯などいたずら目的の攻撃も少なくありませんでした。

Verizonによる「2020年度データ漏洩/侵害調査報告書」によると、サイバー攻撃の86%が金銭目的で行われているといいます。また、マルウェアインシデントの27%は、感染したPCを使用不能にし、元に戻すことと引き換えに「身代金」を要求する不正プログラム「ランサムウェア」によるものとなっています。

このような調査結果からも、近年のサイバー犯罪者は、金銭を要求できるデータ・コンテンツを狙うと同時に、重要な情報がどこに保管されているかも分かった上で攻撃を仕掛けていることが読み取れます。各企業においても、データ・コンテンツを保存している場所が特に狙われやすいことを再認識すべきです。

組織における情報漏洩などの原因

金銭への引き換えを目的として、データ・コンテンツなどの情報が狙われていると紹介しました。

2020年順位 組織における脅威 2019年順位
1位 標的型攻撃による機密情報の窃取 1位
2位 内部不正による情報漏洩 5位
3位 ビジネスメール詐欺による金銭被害 2位
4位 サプライチェーンの弱点を悪用した攻撃 4位
5位 ランサムウェアによる被害 3位

引用情報セキュリティ10大脅威2020/IPA

IPAによる「情報セキュリティ10大脅威 2020」でも、第一位が「標的型攻撃による機密情報の窃取」、第三位が「ビジネスメール詐欺による金銭被害」と発表しており、金銭に引き換えられる有益な情報を”ピンポイントで狙う”攻撃が幅を利かせていることが分かります。

近年、脅威として挙がっており、見逃せないのが、第二位の「内部不正による情報漏洩」です。情報漏洩は、マルウェアなどサイバー攻撃のみで発生するのではありません。残念ながら、企業内部の人間を疑い、内部不正への対策を強化する必要があることを裏付ける結果となりました。

また、情報漏洩だけに焦点を絞った場合、情報漏洩した原因は次のとおりです。NPO日本ネットワークセキュリティ協会が公開した「2018年情報セキュリティインシデントに関する調査結果」によると、情報漏洩の原因の第一位が「紛失・置き忘れ」で26.2%、第二位が「誤操作」で24.6%、第三位が「不正アクセス」で20.3%となっています。

引用2018年情報セキュリティインシデントに関する調査結果/NPO日本ネットワークセキュリティ協会

モバイル機器を置き忘れたり、メールの送信先を誤ってしまうなど、お粗末なヒューマンエラーによる情報漏洩も多いという実態が浮き彫りとなり、悪意の有無にかかわらず、つまり過失に対しても対策が必要となっています。

従来型セキュリティ対策の問題点

VPNありきのセキュリティ対策の限界

そのような状況下の中、多くの企業が採用しているセキュリティ対策は、「境界防御モデル」という従来型のセキュリティモデルです。境界防御モデルは、明確な境界線を引き”社内は安全”・”社外は危険”との考え方で、社内の企業リソースを守ります。

テレワークにおいて、境界防御モデルの中心的な役割を果たすのが「VPN(Virtual Private Network)」です。VPNは、インターネット上に自社の社員など特定の人のみが利用できる仮想の専用線を設定し、データの送受信の安全性を確保します。

ところが、2020年初旬以降、新型コロナウイルス対策により急遽テレワークを導入した企業が急増しました。テレワーク社員から聞こえてくるのは「VPN接続が急に重くなった、遅くなった」という声です。

VPNは機器のリソース消費量が多く、VPNを利用してテレワークする社員が急増したことで、アクセスを処理しきれず、接続が遅延したり、接続できないという事態が発生しました。

また、”社内は安全”とみなす境界防御モデルでは、感染PCがVPNで社内ネットワークに接続すると、マルウェアにも企業リソースへのアクセスを許可してしまうことになるため、機密情報流出などのリスクが高まります。そして少々乱暴に言うと、イントラネットに入ってしまえば何でもできてしまうため、内部犯行や過失を防ぐことはできません。

脱VPNにゼロトラスト クラウド時代のセキュリティの考え方

テレワークの急増をきっかけに従来型のセキュリティの欠点が次々に表面化。情報漏洩に対する懸念も高まっています。従来型のセキュリティに代わり次のような新しい考え方が注目を集めるようになりました。

VPNとは全く逆の発想で守る「ゼロトラストセキュリティ」

テレワークなどでは、企業リソースへアクセスする端末や場所がいつも同じとは限りません。内と外という境界が曖昧になっており、「境界防御モデル」が成り立たなくなっています。

そこで注目を集めているのが、境界防御モデルやVPNとは全く逆の発想で守る「ゼロトラスト」という概念です。ゼロトラストセキュリティでは、”Zero(全く)Trust(信用)しない“ことを前提に、すべての端末・アクセスにリスクがあるとみなし、アクセス毎にユーザー・デバイスにアクセス許可を与えます。

「ゼロトラスト」は2010年に提唱された概念であり、新しいものではありません。テレワークの増加などにより、従来型の境界防御モデルに限界を感じた各企業が「ゼロトラスト」に再注目するようになりました。

情報ガバナンスの強化と一元管理

「ゼロトラスト」の考え方のもと、紙やDVD/USBなどの外部記憶機器内の情報も含め、企業内に保有しているすべての情報をコントロールする「情報ガバナンス」の強化がさらに求められるようになりました。

NPO日本ネットワークセキュリティ協会は、企業がひとたび情報漏洩事故を起こしてしまうと、一件当たりの平均で6億3,767万円もの損害賠償費用が発生すると、「2018年情報セキュリティインシデントに関する調査結果」の中で発表しています。

各企業では、情報ガバナンスの強化で企業内のあらゆる情報をコントロールし、まずは一番リスクが高い情報漏洩事故への対策を講じるようになっています。そのような中で、クラウド上で一元的に情報を管理できるものとして導入されているのが、クラウドストレージです。

情報漏洩やデータ損失を防ぐデータガードレール

企業内の情報を集約して管理すると同時に、それらの企業リソースにアクセスできる人や条件を限定して、例えそれが過失であっても、不正なアクセスから情報を守る「データガードレール」の整備にも注目が集まっています。

「データガードレール」とは、”共有不可と分類された情報は悪意の有無にかかわらず共有をさせない”という考え方で、ファイルやフォルダに対して予め分類をしておき、個人情報や機密情報等は、企業として外部共有不可で、例えその社員がアクセス権を持っていても、社外に共有されたら情報漏洩となりかねません。よって、そういった悪意が無くてもやりがちなうっかり漏洩でさえもシステムで自動的に保護する考え方です。ちょうど自動車を運転していて、ハンドル操作を誤ってもガードレールで崖下に転落することを防ぐことと同じです。

データガードレールについては 、セキュリティ調査企業セキュロシス(Securosis)社のホワイトペーパー、「大切な情報を保護する~データガードレールと行動分析」で詳しく解説されています。

ユーザー行動分析で内部の人間による情報漏洩に備える

万が一、社内の人間による情報漏洩が行われる場合、情報ガバナンスの強化やデータガードレールの整備では、不正の発見が完全にはなりません。そこで注目されているのが、すべてのユーザーの行動をプロファイルし、プロファイルから逸脱する行動を検出する「ユーザー行動分析(User Behavior Analysis)」です。データに対し、完全なアクセス権を持った人間であっても、異常行動の有無で不正を検知します。

ユーザー行動分析についても、セキュロシス(Securosis)社のホワイトペーパー、「大切な情報を保護する~データガードレールと行動分析」で詳しく解説しています。

クラウドサービスと好相性

今回紹介した新しいセキュリティの考え方は、いずれもクラウドの利用と親和性が高いものばかりです。セキュリティ面以外でも、システム管理コストの削減やIT人材を社内で確保できないことを理由に、クラウドストレージなどクラウドサービスの利用が拡大しています。

IPAによる「情報セキュリティ10大脅威 2020」でも、第一位が「標的型攻撃による機密情報の窃取」、第三位が「ビジネスメール詐欺による金銭被害」と発表されていると紹介させて頂きました。ここ数年、常に上位にランクインしている標的型攻撃などのサイバー攻撃も、クラウドストレージ導入でメールでのファイルのやり取りなどが減ることにより、対策ができるものとして注目されています。

総務省が公開した「情報通信白書令和元年版」によると、クラウドサービスを一部でも利用している企業の割合は58.7%に上ります。また、利用したクラウドサービスの効果については、「非常に効果があった」または「ある程度効果があった」と回答した企業の割合は83.2%となっており、クラウド化の流れは止まりそうにありません。

なお、利用したクラウドサービスでは、クラウドストレージの割合が53.1%と最も高くなっています。

クラウドストレージを選ぶポイント

クラウドストレージを選ぶときに注目すべきポイントはどのような点でしょうか。

セキュリティ面での要件対応

クラウドストレージは全て同じではなく、それぞれセキュリティ強度が異なります。自社内ですべてのデータ管理を行うときは、自社のセキュリティポリシーを適用してセキュリティ対策を行えますが、クラウドストレージを導入するときは、クラウドサービス側のセキュリティポリシーに基づいた対策が行われます。

自社のセキュリティポリシーと比較して、クラウドストレージのセキュリティポリシーの中に許容できない条項がある場合もあります。セキュリティ強化とユーザビリティは相反することも多く、使いにくいクラウドストレージになってしまっていることもあります。

クラウドストレージを選択するときには、自社とクラウドストレージ両方のセキュリティポリシーを確認し、問題のある条項が含まれていないか確認しましょう。

自社に合った機能か

クラウドストレージを活用する状況も様々です。例えば、外出や出張を頻繁にする従業員が多ければ、スマートフォンやタブレットからクラウドストレージを利用するときに使うアプリの仕様を重点的に確認します。

また、主に容量の大きいデータを扱う企業であれば、ストレージの容量が第一優先となるでしょう。クラウドストレージの仕様や機能が自社のニーズと合致しているかも、大切なチェックポイントです。

コスト面

多くのクラウドストレージでは、1ユーザー毎の月額制の料金体系です。導入後の利用ユーザー数の増減を加味して、コスト計算をしましょう。

第三者機関による評価

クラウドストレージを選ぶ基準として、第三者機関からの評価を参考にするのもひとつの方法です。

例えば、「ISO/IEC 27001」という情報セキュリティマネジメントシステム(ISMS)に関する国際規格を取得しているクラウドストレージであれば、一定基準以上のセキュリティ対策が実施済みと言えるでしょう。

その他、財団法人マルチメディア振興センターが認定している「ASP・SaaS安全・信頼性に係る情報開示認定制度」や、一般社団法人クラウドサービス推進機構が厳正に審査認定を行っている「CSPAクラウドサービス認定」があります。

まとめ

情報漏洩の危険性は以前から語られてきましたが、抜本的な対策は講じられていませんでした。テレワークが急増し、VPNや従来の境界防御型セキュリティモデルの問題点が一気に表面化。幸か不幸か、テレワーク環境の整備と共に、新しい情報漏洩対策を検討する好機となりました。

取り入れるべき新しい考え方として、”すべてを信用せず、まず疑う”ことでセキュリティを確保しようとする「ゼロトラスト」は、以前から存在していました。

さらに、情報の保護に特化した概念「データガードレール」および「ユーザー行動分析」は、近年提唱されはじめた考え方で、情報漏洩対策に関わる人は知っておくべき概念として拡大していくと見られています。「データガードレール」および「ユーザー行動分析」について、詳しくは、次のホワイトペーパーをダウンロードしてご確認ください。

SNSでもご購読できます。