※本記事は、マカフィー株式会社 セールスエンジニア本部 スペシャリスト 岩井弘志によるものです。
昨年、マルウェアは過去最大となる量が配布されており、1日平均60,000個の新たなマルウェアが生成されていることが明らかになりました。この中でも最も多いマルウェアは、第1四半期と同様に、リムーバブルメディアの脅威であり、さらに拡大傾向にあります。その一方、全国各地でUSBデバイスの紛失事件が相次いで起こっています。USBデバイスの利便性や業務効率を考えると、その使用を差し替えることは余り現実的とは言えません。今回は、紛失時におけるリスクを考慮しながらリムーバブルメディアにおけるセキュリティを確保するために必要な、一連の流れを解説します。
現在、全国各地でUSBデバイスの紛失事件が起こっています。そして紛失したUSBの多くが、個人情報に関係するデータを格納していたことが判明しています。USBの紛失は、場所を問わず、どこでも起こりえます。また事件発生頻度も、以前より多くなっています。このようにリムーバブルメディアにおけるセキュリティニーズは非常に高くなっています。では実際にセキュリティを確保するためには、どのようにしたら良いのでしょうか。
脅威の把握
まずは脅威そのものを把握する必要があります。たとえば脅威の分類で以下のように考えることができます。
- 「Noisy(うるさい)」脅威 :ウイルスやワーム、スパムなど目に見えてわかりやすい脅威が、これに当てはまります。直接的に被害が見えやすいため、IT予算が比較的付きやすい傾向があります。
- 「Quiet(静かな)」脅威 :リムーバブルメディアによる情報漏えい、ネットワーク経由の不正侵入が、これに当てはまります。 経営者に被害状況が見えないため、IT予算がつきにくい 傾向があります。その一方で、知らない間に悪意のある人間や競合他社、他国などに、情報が流出している可能性があります。
目に見える脅威だけではなく、さまざまな状況を考え脅威の把握を行いましょう。
リスク分析
次に実施すべき行動は、そのリスク分析です。リスク分析において最初に行うべき行動は、現状把握といえるでしょう。そもそも、どのようなデバイスが実際に接続されているか、その調査(棚卸)が必要です。
人的に調査を実施する場合、USBデバイスなどのケースでは、申告、登録制を行っている企業があります。しかし、申告制では現状を確実に把握することは非常に困難であり、またそれにかかる時間や労力も膨大なものとなってしまいます。また、デジカメ、MP3プレーヤー、携帯電話など、リムーバブルメディアになりうるデバイスは、無数に存在しています。このような状況では、エージェントタイプの監視ツールを使用することで、簡単にリストを自動作成することが可能です。
CD-R、DVD-Rなどのメディアの場合、最近のPCには必ず書き込み可能なドライブが搭載されています。実際の大規模情報漏えい事件の背景には、CD-Rなどの光ディスクでデータの受け渡しが行われていたケースが頻繁にあります。社内のPCが書き込み可能なドライブを使用できるかどうかの把握を行うべきでしょう。
リムーバブルメディアの制御を行わない場合のリスクとしては、大きく2つあげられます。
- ウイルス感染リスク :ウイルスに感染したUSBデバイスを、プログラムの自動実行を許可したPCに接続するだけでウイルスに感染してしまいます。以下の図は、直近の自動実行マルウェアサンプル数です。自動実行マルウェアはAutoRun.infファイルを改ざんし、マルウェアを自動実行させるようにしますが、AutoRun.infの内容は難読化されパターンマッチングが容易にできないようになっています。
検出された自動実行マルウェアの固有サンプル数
リムーバブルメディアが感染媒体となるため、リスクを軽減するためには接続できるリムーバブルストレージを必要最小限に制限する必要があります。USBデバイスだけではなく、デジカメ、MP3プレーヤー、携帯電話などUSBで接続することができるものは、すべて感染媒体となりうることに注意して下さい。
- 情報漏えいリスク:数10GBの大容量USBデバイスが安価に買える現在、データサイズが大きいから安全ということは全くありません。 重要なファイルへのアクセス権がある社員や派遣社員は、接続制限がなければ流出のリスクが100%あると考えて下さい。 リムーバブルメディア上でファイルの削除やフォーマットを行った場合でも、ツールを使用することでデータを簡単に復元できます。特殊なフォーマット方法を使用しないと完全なデータ削除はできないため、暗号化を行うことが必要といえるでしょう。
リムーバブルメディアのセキュリティ
では、これらのリスク分析に基づいて、どのようにセキュリティを確保すれば良いでしょうか。その方法としては、「デバイスコントロールのポリシーとその強制」、「暗号化USBメモリの使用」、「データの分類、コピーの制限」があげられます。
1. デバイスコントロールのポリシーとその強制
デバイスコントロールのポリシーについて、文書で規定していないケースは、余りありません。情報漏えいが起こってしまった企業でも、もちろんセキュリティポリシーは既に規定済みでした。ただ文書のみの規定では、悪意のある人間の犯行に対しては、全く無力な状態です。
その大きな理由としては、強制力がないことがあげられます。ある金融系企業の場合は、すべてのPCのUSBポートを物理的に埋めて使えなくしました。 すべてを使用不可能にすれば、セキュリティレベルは確実に上がりますが、業務に支障をきたします。業務とセキュリティのバランスを上手くとることが、重要といえるでしょう。
同時に、権限に応じた利用制限が必須 です。業務の利便性を考えると、アクセスポリシーを規定して特定のユーザやPCに関して、許可されているデバイスのみ接続できるようにする必要があります。
デバイスコントロールの一例
2. 暗号化USBメモリの使用
使用可能なデバイスを限定しても、そのデバイスが紛失、または盗難されてしまえば。意味がありません。 経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では「高度な暗号化などの秘匿化が施されている場合」には事実関係の公表を省略可能とあります。「高度な」という部分を証明するためには、デバイスはその暗号強度を評価機関で認定されているべきです。なお現時点における「高度な暗号化」の解釈として、「電子政府推奨暗号リスト」がまとめられています。公表を省略するためには、この基準を満たす必要があります。
また、最近の暗号化USBメモリには、メモリに書き込まれるファイルのウイルススキャンを行うことができるものがあります。ウイルス感染リスクを考えると、USBメモリの選定基準には暗号化だけではなく、ウイルス対策機能も合わせ持つべきです。
暗号化USBメモリの使用画面
3. データの分類、コピーの制限
機密情報かどうかの分類を行った上で、仮にデバイスが暗号化USBメモリであったとしても、紛失、盗難による被害は防止できますが、権限がある人間のデータの持ち出しを防ぐことはできません。このような状況に対処するためには、データの分類を行い、個人情報や知的財産などの重要なデータがリムーバブルメディアに書き込まれる際にブロック可能なDLP(Data Loss Prevention)の導入を検討すべきです。
DLPで個人情報かそうでないかを特定して書き込みをブロック
まとめ
以下に、リムーバブルメディアを使用する際に一般的に注意すべきポイントを挙げておきます。
- USBメモリの自動実行を無効にする
- 不審なUSBメモリを使用しない。
- ウイルス対策をしていないPCには接続しない。
- 最新の定義ファイルを利用し、リムーバブルメディアに保存されているファイルのウイルススキャンを定期的に実施 する
- リムーバブルメディアの保管の管理を徹底する。
- 重要なデータは頻繁に持ち込むリムーバブルメディアには、データ保存をしない。もし持ち運ぶ場合には暗号化USBメモリを使用する
さらに文中に挙げたリムーバブルメディアのセキュリティを実現するためには、セキュリティの統合管理が不可欠です。リムーバブルメディアのセキュリティは、決して一方通行ではありません。デバイスのコントロール、暗号化USBメモリの管理、ウイルス対策、DLPなど、情報漏えい対策のポリシー設定を一元的に実行し、インシデントを常にレポート可能な状態に置くことが最も重要といえるでしょう。