SNSやファイル共有などの個人向けインターネットサービスは、国内の利用者も増加の一途にあり、昨今では職場からこれらのサービスにアクセスすることも一般的となってきている。当然、こうしたサービスやツールは利便性が高く、うまく活用すれば業務の効率化にもつながるが、企業のIT部門からすれば、こうした状況をそのままにしておくのはリスクが高い。こうした状況に対し、企業はどのような手を打つべきなのだろうか。
野放しになっている職場からの個人向けネットサービス利用
パロアルトネットワークス マーケティング部長 菅原継顕氏 |
「職場から個人向けのインターネットサービスを利用することは、企業にとって深刻なリスクとなり得ることをぜひ知ってもらいたい」と、パロアルトネットワークス マーケティング部長の菅原継顕氏は、こうしたサービスの利用を認めている企業に対し警鐘を鳴らす。
パロアルトネットワークスが国内企業100社に同社の機器を設置し、半年間にわたってトラフィックの調査を実施した結果、「やりたい放題」とも言うべき職場からのネットワーク利用の実態が明らかになったのである。
この調査によって国内の企業ネットワークで利用が確認されたアプリケーション/サービスを挙げてみよう。まず、巨大掲示板として知られる2ちゃんねるの利用率が81%、コメント付き動画サービスのニコニコ動画は同66%、YouTubeに至っては同84%という高い数値を示している。またSNSでは、TwitterとFacebookの利用率が共に93%、mixiが同80%で、職場での利用がすっかり定着しているのがわかる。さらに、Web経由でのファイル共有サービスである宅ファイル便の利用率が69%、P2Pのファイル交換サービスBitTrrentが同45%という結果となっている。
「こうしたアプリケーションのすべてが私的な利用だとは限らないが、気軽に外部と情報をやり取りすることは、思わぬ情報漏洩やマルウェア感染につながりかねない」(菅原氏)
リモートデスクトップが抱えるリスク
調査の結果を見ると、リモートデスクトップの利用も目立っている。リモートデスクトップを使えば、自宅のPCから会社のPCにアクセスして、ほぼすべてのコントロールが可能となるため、仕事の持ち帰りや在宅勤務では便利である。そのため、セキュリティ対策を施したうえで利用を認めている企業も多いが、それ以外にも、ユーザーが自分の業務の利便性のために勝手に使用しているケースもかなり高い確率で存在するようだ。
「モートデスクトップは、社内ネットワークに設置されたNASなどの共有ファイルにもアクセスできるため便利だが、企業の情報セキュリティ担当者にとっては大きなリスクとなる。本来、社内にしか存在するべきではない機密情報が社員の私有PCに保存され、そのPCが盗難されたりしたら深刻な事態になりかねない。また、知らないうちに社内ネットワークにバックドアを仕掛けられる危険性もある」と、菅原氏はリモートデスクトップの危険性を訴える。
さらに、ファイル共有サービスの代表格であるDropBoxのように、スマートフォンでも手軽に会社のPCとのファイル同期が可能なものになると、常に持ち歩くデバイスだけに、情報漏洩のリスクはさらに高まることもつけ加えておきたい。
注目を浴びる「次世代型ファイアウォール」
それでは、このように企業ネットワークでリスクの高いアプリケーションが利用されているなか、どのような対策を施せば良いのだろうか。本来であれば、アプリケーションのアクセスをコントロールする役割はファイアウォールが担うものだが、現在のアプリケーションの多くが80番や443番のポートを集中的に利用しているため、従来のファイアウォールが行っていたポート単位でのサービスコントロールでは対応できなくなっている。
そこで、アプリケーションの進化に対応できるソリューションとして注目を集めているのが「次世代型ファイアウォール」と呼ばれるものだ。次世代ファイアウォールであれば、アプリケーションごとにトラフィックを制御することが可能なのだ。
しかし菅原氏は、「次世代型ファイアウォールという言葉はすっかり定着した感があるが、"本当の次世代ファイアウォール"を見極める必要がある」と語る。
菅原氏のこの言葉には大きな理由があるが、それを説明する前にパロアルトネットワークスの生い立ちについて簡単に触れておきたい。パロアルトネットワークスは次世代型ファイアウォールを世界で最初に開発した企業であり、同社が2005年に米国で設立された目的も次世代型ファイアウォールを世に送り出すためだったという。従来のファイアウォールの弱点を克服するため、ファイアウォールを一から構築し直した同社の製品は、世界中の企業で評価され導入され続けている。実際、米国の調査会社ガートナーは、パロアルトネットワークスをエンタープライズファイアウォールのベンダーのリーダーと評価している。
"真の"次世代型ファイアウォールとは
こうした背景を持つパロアルトネットワークスだからこそ、同社が開発する次世代型ファイアウォールは真の意味でのアプリケーション可視化を実現できるのだ。次世代型ファイアウォールと呼ばれる他社製のファイアウォールやUTMの場合、ファイアウォールのエンジンは旧来の設計のままである。そのため、アプリケーションを制御するためにトラフィックをIPSエンジンに送り、あくまでIPSの仕組みを使ってアプリケーションを監視する手法を採っているのが一般的だ。
「この方法では、十分なパフォーマンスを得ることはできない」と菅原氏は断言する。
なぜかというと、IPSのスループットは通常ファイアウォールのそれよりも格段に落ちるため、いくらファイアウォールが高速であってもIPS側が低速であればパフォーマンスが大きく低下してしまうのである。そのため、パフォーマンスの低下を防ぐためにIPSを通すアプリケーションをあらかじめ制限するとう運用を行う企業が多くなるわけだが、そうすると今度は肝心のアプリケーションの可視化が不十分になってしまうというジレンマを抱えることになる。
これに対し、パロアルトネットワークスの次世代型ファイアウォールであれば、前述のようにファイアウォールの仕組み自体がまったく新しく設計されているため、スループットを落とすことなくすべてのアプリケーションを可視化することができるのである。さらに、同社の次世代型ファイアウォールでは、より詳細なアプリケーションのコントロールが可能だ。
前述したように、個人向けのインターネットサービスにはリスクも多い反面、利便性も高い。よって、企業としてはこうしたサービスの使用をすべて禁止するのではなく、自社に合ったポリシーを作成し、それに従った運用を行うことが求められる。そのために欠かせない"真の"次世代型ファイアウォールには、どのような機能が備わり、どのようなメリットがあるのか──詳細は、9月20日に開催されるセキュリティセミナーの会場で語られる予定だ。ぜひとも来場いただき、その目で確かめていただきたい。
『標的型攻撃 対策セミナー
- マイナビニュースITサミット Webセキュリティ -』【開催日時】
9月20日(木)13:00~16:30
【参加費】
無料
【場所】
東京都千代田区一ツ橋1-1-1
パレスサイドビル 9F マイナビルームA (東京メトロ東西線 竹橋駅直結)