特別企画

情報漏えいで慌てないための多層防御策(4)~デバイス制御の“抜け穴”に注意

「密度」の濃い防御壁が重要に

 情報漏えいを水際で防ぐ対策として、多層的なデバイス制御を行うことが非常に有効であると、前回ご紹介しました。スマートフォンやタブレット、USBメモリなどの外部デバイスへの書き込みを制限・制御することで、社内ファイルの持ち出しを防止することができるからです。すでにデバイス制御の「機能」自体は、セキュリティソフトだけでなく資産管理ソフトなどにも組み込まれているので、当たり前に使っている企業も多いと思います。しかし、油断は禁物。実は、このデバイス制御機能には、見えない抜け穴ができている可能性があるのです。

 ひとくちに外部デバイスといっても、USBメモリをはじめ、SDカード、光学ドライブ、スマートフォン、タブレットなど、その種類はさまざま。さらに、それぞれのデバイスに異なる規格やバージョンが存在します。このため、「USB 2.0は制御できるが、USB 3.0は対応外」、「Android OSの最新バージョンには未対応」、「メディア転送プロトコル(MTP)には対応できるが、画像転送プロトコル(PTP)は対応できない」など、デバイス制御機能によっては、対応状況に差が出てきているのが実状です。

 また、外部デバイスにファイルを書き出す経路も一つだけではありません。例えば、文書ファイルをUSBメモリに書き出す場合でも、「文書作成ソフトから保存する」だけでなく、「Windowsのエクスプローラー上からコピーする」、「同期ソフトを使ってコピーする」といった経路が考えられるほか、「光学ドライブとして認識するUSBメモリ」なども存在します。今使っているデバイス制御機能が、これらの経路すべてをカバーできているのかどうか。

 つまり、デバイス制御機能を利用して、情報漏えいの防御壁を高く、厚く積み上げたはずが、気づかないところに隙間ができていて、見えない抜け穴になってしまうというわけです。そこで、多層的なデバイス制御の防御壁には、「高さ」と「厚さ」に加えて、抜け穴を作らない「密度」も重要だと考えています。当社の提供しているデバイス制御ソフト「InterSafe DeviceControl」では、この「密度」をいかに濃くするかに着目した機能を備えています。

「高さ」と「厚さ」に加えて、抜け穴を作らない「密度」も重要

 具体的には、OSカーネルモードのドライバレベルでアクセス制御を行います。外部デバイスにファイルを書き出すとき、データの信号はさまざまな層を通って外部デバイスへと送られます。この信号をどの層で制御するかによって、デバイス制御機能の「密度」に差が出てきます。「InterSafe DeviceControl」は、OSに最も近い、いわば最終防御層に独自のドライバを組み込むことで、非常に密度の濃いデバイス制御を実現しています。

OSカーネルモードのドライバレベルでアクセス制御

 このように、デバイス制御は、単純なように見えて、とても奥が深いのです。現在では、ほとんどのセキュリティソフトや資産管理ソフトにデバイス制御機能が搭載されていて、どれも横並びに見えますが、ぜひこれからは「密度」に注目して、機能評価することをおすすめします。今夏に発生した大量の個人情報漏えい事件も、当社の「InterSafe DeviceControl」であれば、おそらく防げたのではないかと思っています。

 本連載の最終回となる次回は、これまでに紹介したファイル暗号化とデバイス制御を実践しながら、外部へのファイル持ち出しを安全かつスムーズに行い、業務効率を落とさずに情報漏えい対策を実現するポイントについて総括します。

和田秀之

アルプスシステムインテグレーション株式会社
セキュリティ事業部 ILPソリューション部
ILP製品技術課 プロダクトマネージャー