業務効率化のため、社内の情報共有にMicrosoft 365やGsuite、サイボウズOffice等のグループウェアを導入する企業も増えています。
これらのツールはネットワークを通じて情報共有やコミュニケーションが行えることで業務効率の向上に非常に役立つものです。
ノートパソコンやスマートフォン、タブレット等のモバイル端末から時間や場所を選ばず業務情報にアクセス出来て資料等の共有にも便利な一方で、セキュリティ対策が疎かになっていると重大な情報漏えい事故に発展する可能性があります。
特にクラウドを運用する管理者側として心配するのは、会社が認めていない端末でアクセスする「シャドーIT」による情報漏えいではないでしょうか。
顧客情報や社内情報等、クラウド上に保存されていたファイルがシャドーITにより、管理者の目の届かないところでファイルの共有されてしまうと、共有された数だけ情報漏えいのリスクも高まります。
情報漏えい発生の原因は?
「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの原因として最も多いのが「紛失・置き忘れ」によるもので、全体の6割が人的な要因によるものです。
3.2 漏洩原因:2018年単年データ(件数)
NPO日本ネットワークセキュリティ協会 報告書・公開資料 (jnsa.org)
シャドーITによりモバイル端末にファイル保存している状態で端末を紛失して情報漏えいが発生した場合、漏洩の検知が出来ず対応が遅れ、ログの追跡も難しくなります。
「紛失・置き忘れ」をはじめとしたヒューマンエラーの発生を完全に防ぐことは難しいですが、例えば「端末にファイルを保存させない」仕組みにしておくことで、端末を紛失しても保存データからの情報漏えいリスクを軽減することができます。
シャドーITの防止のためには社内教育やルールの設定も必要な要素の一つではありますが、セキュリティ上の脅威に備えるためには、技術的にシャドーITを防止する仕組みを整えておくことが望ましいです。
では、モバイル端末でクラウドを安全に利用するためにはどのような点を抑えておくべきでしょうか。
モバイル端末でクラウドを安全に利用するための4つのポイント
スマートフォンやタブレット等のモバイル端末でクラウドを利用する際に安全性を保つためには、どこにリスクがあるのか認識し、それを踏まえたうえで適切な対策を取っておく必要があります。
ダウンロード禁止
ファイルの独り歩きを防ぐにはモバイル端末へのダウンロード自体を塞いでしまうことが有効です。
端末の紛失・置き忘れによるリスクだけではなく、安全ではないファイル共有サービスの利用や、ファイルを添付したメールの誤送信、SDカードによる外部への持ち出し等の様々なリスクへの防止策となります。
また、BYOD(従業員の私物端末の業務利用)を導入している場合は、従業員の退職時の対応も考慮する必要があります。突然の退職などで、私物端末内の業務情報について管理者で削除が行えないケースがあることを考えた場合も、端末へのファイルダウンロードは最初からさせない仕組みとなっていると良いでしょう。
利用端末の制限
不特定多数の利用する公共の端末でのクラウドへのアクセスを許可している場合、ログアウトのし忘れや、ログイン情報がブラウザに記憶されてしまっているケース、個人情報取得ツールが仕掛けられているケース等、不正アクセスのリスクが高まります。
そのため、情報セキュリティインシデントの防止の観点では、管理者が許可した端末でのみクラウドの利用を許可することが望ましいです。
許可されていない端末からのアクセスは弾かれるため、私物端末からのアクセスや、第三者による不正アクセスを防止することができます。
利用端末を制限する方法は複数ありますが、一般的なものとしては接続元のIPアドレスを使ってアクセスを制限する「IPアドレスによる制限」、端末にインストールされた電子証明書で認証を行う「クライアント証明書による認証」等があります。
しかし、いずれもすべてのクラウドサービスに対応している訳ではないので、ご利用のクラウドサービスではどのような方法で利用端末の制限が可能か確認されると良いでしょう。
多要素認証の利用
「多要素認証」とは、異なる複数の要素を組み合わせることでセキュリティを向上させることができる仕組みのことです。
認証の要素としては知識情報、所持情報、存在情報の3種類に分けられます。
「ID・パスワードによる認証」は多くのサービスで利用されている最も一般的な認証方法ですが、これは本人のみが知っている情報であり知識情報に分類されます。
しかし、知識情報は知ってさえいれば誰でも認証を突破することが出来てしまうため、これだけでは万全のセキュリティとは言えません。
そのため、近年銀行のWEBサービス等の多くのサービスで導入されているのがこの「多要素認証」です。
知識情報に加え、ワンタイムパスワードのような本人のみが所持している情報(所持情報)や、顔認証・指紋認証等の利用者自身の特徴の情報(存在情報)と組み合わせることで容易には認証を突破できなくなり、セキュリティの強度を高めることができます。
多くのクラウドサービスで多要素認証の設定が可能なため、ご利用のクラウドサービスで多要素認証の機能を備えている場合は、設定されることをお勧めします。
利用者の管理
前述の通り、多くの情報漏えい事故の原因はヒューマンエラーによるもののため、端末の紛失・盗難のような身近で起こり得る事故への対処方法についても予め検討しておく必要があります。
端末の紛失・盗難時は悪用を防ぐため、まずは回線の利用を停止すると思いますが、回線の停止だけでは十分ではありません。回線が利用停止になっていても、Wi-Fiに接続することでクラウドサービスを含め、様々な機能の利用ができてしまいます。
クラウドサービスからの情報漏えいの阻止・被害拡大を阻止するには回線の停止等と併せて、管理者が遠隔でユーザーのクラウドサービスの利用を停止できるようにしておくことをお勧めします。
クラウドのセキュリティを高める手段
クラウドサービスに標準で実装されているセキュリティ対策機能を活用するのも手段の一つですが、標準機能だけでは不十分な場合、異なるサービスを組み合わせてセキュリティを高める方法があります。
弊社ではWebからのアクセス経路を一本化し、クラウドサービス単体では実現できないセキュリティ機能を導入することが出来る「リモートブラウズ」を提供しております。
リモートブラウズはセキュアゲートウェイサービスの一種で、限られた利用者に対し社外からインターネットを通じてクラウドサービスや社内イントラ等に接続する安全な入口(ゲートウェイ)を設けることができます。
新たな設備やVPN、証明書等の必要がなく、導入・運用が簡単に出来るためご好評いただいています。
リモートブラウズ
セキュアゲートウェイサービス
社外からモバイルPCやスマートデバイスを利用して、貴社でご利用のクラウドサービスや社内のインフラ(社内独自でご利用しているポータルサイトやイントラネット等も接続可能です)を安全な方法で利用できるサービスです。
モバイル端末にデータを残さず社外で安全にクラウドを利用出来る「リモートブラウズ」とは?
リモートブラウズはモバイルPCやスマートデバイスから、クラウドサービスやイントラネット等に安全にアクセスできるサービスです。
ZIPファイルもダウンロードせずにブラウザ上で内容確認する機能や、クラウドサービスやイントラネットへのアクセスをIPアドレスで制限することが可能になります。
利用登録したブラウザのみ利用可能、端末紛失時は利用停止にできる
リモートブラウズでは「利用者毎のユニークなURL」「利用登録時にブラウザにセットする認証用Cookie」の2点を確認することで、登録されているブラウザのみアクセスを許可します。1ユーザーあたり最大5端末を登録可能です。
利用登録メールのURLから登録を行うため、利用者が離れた場所でも導入が可能です。
利用者が端末を紛失した場合、紛失した端末のみを利用停止することが可能です。
また、特別なアプリや証明書のインストール等は不要なためBYOD(従業員の私物端末の業務利用)にも活用いただけます。
社外からのアクセスをIPアドレスで制限可能
イントラ等へのアクセスがリモートブラウズシステムからのアクセスとなるため、クラウドサービスやイントラネット側でリモートブラウズシステムのIPアドレスからのアクセスを許可していただけば、安全な社外利用が可能となり、利用登録していないモバイル端末やPCによる社外からのアクセスを制限できます。
また、VPN接続が不要なので、VPN接続が難しい環境でも、イントラネットへのアクセスが容易です。
ファイルのダウンロードを禁止して端末にデータを残さずに、画像変換して閲覧可能
リモートブラウズを利用してクラウドサービスやイントラWEBにアクセスする際、スマートフォンやタブレット、モバイル端末へのファイルのダウンロードを禁止することができます。
WEBサービス上でダウンロードの動作を行おうとすると、画像に変換して表示する画像変換によりファイルの閲覧も可能です。
※画像変換については無料でご利用いただけますが、事前にお申込みをいただく必要がございます。
テキストファイル、各種画像ファイル(jpg、jge、jpeg、pjpeg、gif、png、bmp、tif、tiff、svg、svgz)、Officeファイル(PowerPoint、Word、Excel)、PDF、Open Officeファイルの画像変換に対応しております。
ZIPファイルに含まれる上記ファイルも、ZIPファイルのダウンロード・展開をする必要はありません。ZIPファイルにパスワードがかけられていても、一切ファイルをダウンロードすることなくファイルの内容を確認することができます。
最後に
これまで「利便性」と「セキュリティ」はトレードオフの関係にあり、両立は難しいと言われていましたが、新しい働き方を求められるこの時代においては適度に「利便性」と「セキュリティ」を満たす仕組みが求められます。
そのため、まずは会社で求めるセキュリティ基準を明らかにした上で、適した対策を探しましょう。
弊社では、セキュアゲートウェイにより外部と社内情報を安全につなぐ「リモートブラウズ」をはじめ、働き方をより自由にするテレワーク支援サービスを各種ご用意しております。
携帯電話やスマートフォン、タブレットを利用して解消をしたい課題などがございましたら、お気軽にご相談ください。
ご不明な点がございましたらお気軽にお問合せ下さい。
■お問合せフォーム
https://biz.rmail.jp/rbrowse/inquiry.php