大量顧客情報流出事件の衝撃、スマートデバイスによる情報の“抜け穴”を塞げ！

　2014年もさまざまな情報セキュリティ事件が発生しました。その中でも、社会的に大きな話題を集めたトピックといえば、やはり7月に発生した大手通信教育会社からの大量の顧客情報流出事件でしょう。最終報告書記載の漏えい件数は約3504万件という、膨大な顧客情報が流出したことはもちろんですが、これに加えて、犯行が社内システム管理に携わる人物によるものであり、スマートデバイス接続の抜け道から情報が漏えいしたという事実が発覚すると、業界を超えて各方面に衝撃が走りました。

　この情報流出事件が発生した後、9月に当社で実施したアンケート調査の結果を見ても、「情報漏えい対策ソフトで重視する点は？」との問いで最も高かったのが、「外部デバイスの制御ができること」で、56.8％を占めました。この数値は、前年の2013年10月に実施した前回調査に比べて、約10ポイントも増加しており、今回の情報流出事件をきっかけに、デバイス制御の重要性が改めて見直されたことが伺える結果となりました。

「外部デバイスの制御ができること」が重視されるように

　実際に、事件以降、当社へのデバイス制御に関する問い合わせも急増しています。既存ユーザーだけでなく、新規ユーザーからも、「スマートデバイスからの情報漏えいを防止するにはどうしたらよいのか」といった声が多く寄せられるようになりました。こうしたスマートデバイスからの情報漏えい対策として、当社が提案しているのが、デバイス制御ソリューションの「InterSafe DeviceControl」です。

　ただ、“デバイス制御”という機能だけを見れば、「InterSafe DeviceControl」に限らず、Windowsのグループポリシーや資産管理製品でも対応できていますし、多くのメーカーからデバイス制御機能を備えたセキュリティ製品がリリースされています。当然、今回の情報流出事件を起こした大手通信教育会社でも、最終報告書での記載などを見る限り、相当にしっかりとしたデバイス制御対策を行っていたようです。それでも、スマートデバイスでのデータの持ち出しを防げなかったのです。

　報告書上では、デバイス制御システムのバージョンアップ時にスマートフォンの特定機種がデバイス制御の対象外だった、と記載されています。なぜこうした現象が起きたのでしょうか。

　デバイス制御は単純のように見えて、実は非常に奥が深いもので、単純にスペック表に記載された○・×だけでは判断しにくいものです。対応欄に○がついていても、見えない抜け道が潜んでいる可能性があるのです。

　デバイスの制御について、もう少し詳しく説明しましょう。デバイスを制御する場合、まずアプリケーションからデータを書き出す経路が複数あることを考えなくてはなりません。例えば、Windows Explorerからのファイルコピーや、iTunesによるデータ同期など。また、接続タイプについても、MTP（メディア転送プロトコル）モードやPTP（画像転送プロトコル）モードでの接続、Wi-Fi接続などさまざまなものがあります。こうした経路や接続タイプをどこまでカバーできているのか。つまり、デバイス制御では、抜け道を作らない「密度の濃さ」が重点ポイントといえるのです。

　さらにはMTPやPTPのようなよく利用される接続のモードのほか、特殊なアプリなどで利用されるUSBデバッグモード接続、フリーの同期ツールなどによる想定外の接続タイプ。このように日々新たな接続経路が発生している現実があり、この驚異的ともいえる変化（スピード）にも追従していかなければなりません。

　この点から見ると、多くの抜け道が存在しているのは明らかです。これを大前提として設計、当社が提供している「InterSafe DeviceControl」では、OSに最も近い最終防御層に独自のデバイス制御ドライバを何重にも組み込むことで、非常に密度の濃いデバイス制御を実現しています。また、デバイスへのあらゆるデータ書き出し経路と接続タイプをチェックし、情報流出の抜け道ができにくいように力を注いでいます。

　スマートデバイスは、ポータブルデバイスやイメージングデバイスとして認識されるデバイスとして一括制御が可能です。2015年1月9日にはスマートデバイスの制御機能を強化し、ポータブルデバイスとイメージングデバイスを細分化して管理できる新バージョン提供を開始します。これにより、よりきめ細かで企業・法人の利用実態に即したデータの管理ができるようになります。

InterSafe DeviceControlはOSに最も近い最終防御層に独自のデバイス制御ドライバを何重にも組み込む

　今回、スマートデバイスからの情報流出を防ぐポイントについて説明してきましたが、これでも抜け道を100％なくすことはできないのが現実です。そこで、第3回では、データが流出することを踏まえた上で、どのようなセキュリティ対策が必要なのかをご紹介します。