PR

 前回、情報セキュリティ監査人の視点から日本でサイバー脅威が高まっている背景を説明した。具体的には「ビジネス環境のスマート化とグローバル化」「日常を覆う通信ネットワーク」「サイバー攻守がハイレベルに」なったことの3つだ。今回は、セキュリティ対策において環境変化が新たなリスクファクター(要因)となった理由を、どんな脆弱性が発生しているのかという観点で分析していく。

働き方改革でリスク増大

 まず「ビジネス環境のスマート化とグローバル化」から見ていく。日本企業では現在、「働き方改革」が進んでいる。長時間労働の是正や雇用形態・待遇の見直しといった各種テーマは、テレワークなどITを活用した柔軟な労働環境へのシフトと共に進んでいる。

 テレワークはセキュリティ上のリスクになる。これまでのセキュリティ対策は主に境界型防御が中心だった。すなわち、外からの侵入を防ぎ、従業員には情報を外に持ち出さないルール(情報セキュリティ管理策)を施してきた。従業員のPCにはワイヤーやチェーンで物理的に持ち出せないようにロックする、USBメモリーの使用を禁止する、社外に持ち出すPCは別途用意して、許可のうえで持ち出すといったルールを策定・実施している企業が多いだろう。

 一方、テレワークの取り組みを進めると、必然的にオフィスの外で、オフィス内と同等に業務を進められるようにする必要があるため、従来ルールのままでは支障を来す。それゆえにルールを変更せざるを得ないが、ルールそのものやルールが適正に実行されているかどうかのチェック(監査)の方法が確立されていないケースが多い。これが新たな脆弱性の発生要因となり、リスクにつながっていくのである。

 簡単な例を挙げてみると、喫茶店や新幹線車内などのパブリックスペースで作業している人のほとんどがPC画面を第三者に見えにくくするような対策を施していない。読者の皆さんも思い当たるフシがあるのではないだろうか。画面の盗み見、いわゆるショルダーハッキングがいつでも可能な状況なのである。

ショルダーハッキングのイメージ図
ショルダーハッキングのイメージ図
[画像のクリックで拡大表示]

 専用ドングルやスマートフォンなどの認証デバイスで2要素認証を施し、かつVPN接続でPCから社内の機密情報に適切にアクセス制限できている場合でも、画面をのぞき込まれるだけで機密情報を第三者が閲覧できてしまうのであれば、2要素認証やVPN接続といったルールは、投資の価値が一定レベルで棄損されているといえる。監査では「技術的に適正な対策がなされている」と証明されても、実際には第三者に情報が漏れている可能性があるのだ。

 この例で対策を挙げるのは難しくない。社外、特にパブリックスペースで働く場合にはPCにプライバシーフィルターなどのぞき見防止の処理を施すというルールを追加すればよい。1台当たりわずか数百~数千円の投資だが、プライバシーフィルターのメーカーによると装着率は数%に過ぎないという。