企業が情報を守るために採用しているセキュリティツールを「社員監視の道具」と見なし、なんとか出し抜こうとする社員は常にいるものだ。
ワシントン・グループ・インターナショナルのような大企業では常に、会社の方針で禁じられているWebサイトを見に行ったり、許可されていないプログラムを使おうとする社員がいる可能性がある。
同社のITセキュリティディレクターを務めるエド・ビアンカレリ氏は、P2Pの使用と、ポルノサイトやギャンブルサイトの閲覧を禁止する厳格なWeb使用ポリシーを定めている。社員がこのポリシーを破らぬよう侵入防御システム(IPS)アプライアンスを採用しているが、最強のセキュリティツールをもってしても、全社員にポリシーを遵守させるのは不可能だと分かった。
ビアンカレリ氏のようなIT専門家にとって、もう1つの問題は、社内でWebを閲覧する悪意はないと思われる社員が、セキュリティ保護プログラムを社員監視ツールと見なすことだ。セキュリティソリューション企業ベリセプトの上級副社長、ジョセフ・コルテール氏によると、こうした考えの社員は企業のセキュリティツールを出し抜く方法をネット上で探すという。
「企業は顧客情報と知的財産を守ろうとしており、社員による侵害があまりにも多いことを懸念している」と語るコルテール氏の勤めるベリセプトは、WGIの社員がアクセスするオンラインコンテンツをビアンカレリ氏が監視するのを助けている。「社員がさまざまなサイトを閲覧するのを阻止するURLフィルタリング技術があるが、こうしたツールを出し抜く方法を社員に教えるWebサイトがある」(コルテール氏)
ワシントン・グループ・インターナショナル(WGI)はエンジニアリング/建設/マネジメントを主たる事業とする企業グループ。社員2万人を抱え、世界中に事務所を持っている同社のような規模の会社では常に、会社の方針で禁じられているWebサイトを見に行ったり、許可されていないプログラムを使おうとする社員がいる可能性がある。
同社のITセキュリティディレクターを務めるエド・ビアンカレリ氏は、P2Pの使用と、ポルノサイトやギャンブルサイトの閲覧を禁止する厳格なWeb使用ポリシーを定めている。社員がこのポリシーを破らぬよう侵入防止システム(IPS)アプライアンスを採用しているが、最強のセキュリティツールをもってしても、全社員にポリシーを遵守させるのは不可能だと分かった。
「当社はハイテク企業ではないので、社員がポリシーを出し抜く恐れはそれほど大きくはない。だが、許可されていないP2Pファイル交換とIM(インターネットメッセージング)の使用が行われた」(ビアンカレリ氏)
ビアンカレリ氏のようなIT専門家にとって、もう1つの問題は、社内でWebを閲覧する悪意はないと思われる社員が、セキュリティ保護プログラムを社員監視ツールと見なすことだ。セキュリティソリューション企業ベリセプトの上級副社長、ジョセフ・コルテール氏によると、こうした考えの社員は企業のセキュリティツールを出し抜く方法をネット上で探すという。
「企業は顧客情報と知的財産を守ろうとしており、社員による侵害があまりにも多いことを懸念している」と語るコルテール氏の勤めるベリセプトは、WGIの社員がアクセスするオンラインコンテンツをビアンカレリ氏が監視するのを助けている。「社員がさまざまなサイトを閲覧するのを阻止するURLフィルタリング技術があるが、こうしたツールを出し抜く方法を社員に教えるWebサイトがある」(コルテール氏)
同氏によると、そうしたサイトの1つは有名なBoingBoingブログだ。実際、BoingBoingには「検閲ソフトの破り方」の特集ページがある。
「もしあなたの会社もしくは非民主的で専制的な腐敗した政府がBoingBoing.netその他のサイトへのアクセスを阻止するフィルタサービスを使っていても」さまざまな回避手段がある、とこのブログには書かれている。そうした手段の1つはCircumventorというプロキシソフトで、このソフトを作ったのはピースファイアという「インターネット上の言論の自由について議論する18歳未満の人々の利益」を代表するグループだという。
「このソフトをPCにインストールし、人々があなたのプロキシを使ってWebにアクセスするのを助けたり、職場や学校からどんなWebサイトにでもアクセスできるようにしよう」とBoingBoingに書かれている。
ピースファイアのサイトとメーリングリストを運営しているのは、シアトル在住のフリープログラマー、ベネット・ヘイゼルトン氏。同氏はメールでの取材に対し、ピースファイアの目的は情報セキュリティを破ることではないと語った。実際、企業が遮断することを決めているサイトの幾つかは決して危険ではないという。
「BoingBoingに限って言えば、誰かのPCを害するようなところにわざとリンクすることは――少なくともユーザーへの警告なしには――まずない。また、BoingBoingからリンクされたURLはおそらく、完全無作為に選んだURLよりは安全だろう」(ヘイゼルトン氏)
それに、外部からの攻撃者が悪意あるWebページを使って、誰かのPC上で許可されていないプログラムを走らせようとしても、ほとんどの企業のファイアウォールがそれを阻止するだろう。さらに、企業はたとえ1台のPCが危険にさらされても問題にならない社内ネットワーク規制を設けるべきだし、「特別にアクセスを許されたアカウントを持つ社員以外は機密情報へのアクセスができないようにするべきだ」とヘイゼルトン氏は言う。
同氏は、スパイウェアなどを避けるための規則に従うよう十分教育された社員にのみ、機密情報へのアクセス権を与えるべきだと言う。
ヘイゼルトン氏は、ピースファイアは企業のセキュリティ管理の回避を支持しているわけではないと強調した。
「ピースファイアは主に抑圧された国々の若者や市民に対する検閲と戦っている。いずれにしても、そうした人々には選択肢がないからだ。だが、自分で就職先を選択するなら、その会社の規則に従うべきだ」(ヘイゼルトン氏)
しかし、たとえピースファイアのようなグループや企業の社員に悪気がなくても、企業のインサイダーが合法的なツールを悪質な目的のために使うリスクは常にあるとコルテール氏は言う。
「当社の顧客は自分の金銭的利益のために財産を盗もうとする社員がいることに気付いている。職場でも見たいWebサイトは何でも見られるべきだと思っている社員に言っておこう。自宅のPCはそのためにある」(コルテール氏)
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
