標的型メールは見抜くことが難しい。は誤りです

シャドーIT×ウェアラブル×BYOD、システムで制御することの限界

[セキュリティマネジメント, セキュリティ対策に効くクスリ]

シャドーIT×BYODスマートウォッチは既に幾つものメーカーから登場していますが、Apple Watchの登場により、世間の注目度は俄然上がったのではないでしょうか。

スマートフォンも大画面化、タブレットもパソコンも薄く・軽くなり、もはや数え切れないくらいの種類が登場、更にスマートウォッチを使うのも当たり前ともなってくれば、誰もが一人一つくらいは高性能なデジタルデバイスを持っているのが日常の光景となる。というのも、もはやそう遠くない未来と言えるかもしれません。

便利なデバイスがあれば使いたいと思うのが人のサガ

鞄には高性能な私物ノートパソコンやタブレット、腕にはこれまた高性能なスマートウォッチ、ネットには常時接続していて、情報収集やデータ処理はいつでもどこでも自由自在。

ともなれば、これはもう、オフィスを持ち歩いているのと同じ。

しかも、私物のデバイスともなれば、常時触れていて、自分の使いやすいようにカスタマイズもしているので、会社のパソコンを使うよりも断然慣れていて使いやすい。

これだけ好条件が揃っていたら、仕事も自分のパソコンでこなしたい。と考えるのも自然なことです。

それゆえ、会社にナイショで端末を社内ネットワークに繋いだり、クラウドを経由してデータをやりとりしたりするなどの方法で、会社が公式に認めていないデバイスを仕事に使う人が増えている。というのもまた、自然なことかと思います。

当人が自覚してやっているかどうかはともかく、会社が認めていないデバイスを業務に持ち込むことは、「シャドーIT」として問題視されていますが、誰もが高性能な端末を持っているともなれば、BYODとして活用していくというのは、もはや時代の流れとして止めようがない事のように思います。

システムでの制御が万全だと言い切れるでしょうか?

社内ネットワークに勝手に私物端末を繋がれては困る。ということで、許可されていないデバイスは接続できないようにする仕組みはありますが、ひと昔前とは違い、把握しきれないほどの種類のデバイスが次から次へと登場してきている今となっては、あらゆるデバイスについて、社内ネットワークに繋がれても大丈夫かどうかを確認するのはもはや不可能です。

ハードウェアのみならず、ソフトウェアの組み合わせまで考えたら、私有端末は許容しない仕組みを入れているからと言って、絶対に安全だと言い切れる管理者はいないのではないかと思います。

ベネッセの情報漏洩の件も、USBメモリーへの複製を禁止していたはずのPCに、私物のスマートフォンを繋いでみたら、あっさり繋がってデータがコピーできてしまったというのがコトの発端だったわけですから、今後ますます様々なデバイスが登場してくる流れの中にあっては、システムで制御する方法には自ずと限界があると考えるべきでしょう。

最も危惧すべきは、いいね!と思って使い始める人達

そして、BYODの流れの中で最も厄介なのは、マーケティング用語で言うところの「アーリーアダプター」と言われる人達の存在です。

「イノベーター」に分類される、IT知識に長けた人達は、IT技術とそのリスクを十分分かった上でデバイスを利用するので、リスクを回避する、また、最小にする方法も分かっています。

しかし、「イノベーター」のすることを見て興味を持ち、真似をしようとする「アーリーアダプター」の人達、言い換えると、いいね!と思って使い始める人達は、「イノベーター」ほどに知識を持ち合わせているわけではない可能性があり、事象の裏に隠れているリスクなどについては全く知らずに、ただ、「便利そうだから」という理由だけで「イノベーター」の真似をするということはなきにしもあらずです。

本質を知らずに、うわべだけを取り入れる「アーリーアダプター」を見て、それに追随する「アーリーマジョリティ」の人達が登場すれば、目には見えない爆弾(リスク)がそこら中に存在する状態になるのは必至です。

具体的には、Winnyやバイドゥなどがいい例でしょう。リスクがあることを知らない人達が使い出した結果、あちこちで情報漏洩が発覚し、Winnyは今では導入禁止ソフトの代表例です。

だからこそ、人的リスクを最小化する取り組みが重要になる

標的型攻撃に対する対策については、多層防御など、システムによる防御の仕組みが華々しく宣伝されており、難しいセキュリティの話などについては気にしなくても良い仕組みこそが、ユーザーフレンドリーであり、理想的な仕組みであるといった風潮があります。

このような考えはまさに理想的であり、否定するつもりはありませんが、リスクを知らずに使うのと、難しいことはよく分からないけれど、リスクがあるということを知った上で使うのとでは、抱えるリスクの度合いは全く違ったものになるはずです。

システムによる理想の実現を追い求めることは間違ってはいないけれど、システムによる対策には限界もあるからこそ、それだけに頼るのではなく、人的リスクを最小化することにも心を砕く。

シャドーIT×ウェアラブル×BYOD、こうした状況があたり前の状況になっていく時代だからこそ、演習の実施などによって、セキュリティに関する知識、目に見えないリスクの存在を心にとどめてもらうようにする。

こうした取り組みは、組織や従業員一人一人を守るためにも、これからもますます重要であり、システムが如何に便利なものになろうとも、疎かにしてはならないことなのではないかと思います。

←前の記事へ(
→次の記事へ(
サブコンテンツ

標的型メール訓練なら、標的型攻撃メール対応訓練実施キット!