Twitter、Skype、Dropboxと、進化したアプリケーションが企業で利用されている。こうしたアプリケーションには従来のオフィスアプリケーションにはないセキュリティリスクが存在する。これらのリスクを理解し、適切な対策を打っておかないと、誰も気づかない間に重要な情報が漏洩し、ウイルスが侵入しているかもしれない。本連載では、企業で利用されるアプリケーションのリスクを明らかにするとともに、適切な対応策を考えていく。

モダンアプリケーションの登場でセキュリティリスクが拡大

Web技術やネットワーク技術の進歩により、企業のアプリケーションを取り巻く環境が大きく変わった。例えば、SaaSに代表されるクラウド型サービスが社内システムの1つとして広く利用されるようになり、社外パートナーとのコラボレーションにSkypeやDropboxといった個人向けツールが利用されるようになった。また、マーケティングや販促ツールとしてTwitterやFacebookの存在感も増してきている。

アプリケーションは、企業の内と外とをファイアウォールで隔てた環境で利用するものから、社内外のさまざまなサービスと連携させながら利用するものへと変わったと言える。

こうしたアプリケーション環境の変化は、企業のネットワークセキュリティのあり方にも大きな影響を与えるようになった。従来のファイアウォールでは、社内外でどのようなアプリケーションが利用されているかを把握できないため、情報漏洩や不正侵入などのセキュリティリスクに対応できなくなってきたのだ。

米パロアルトネットワークスの創業者でCTOを務めるニア・ズーク氏

そのことにいち早く気づき、従来とは異なるアーキテクチャを持つ次世代ファイアウォールの開発に取り組んだのが、米パロアルトネットワークスの創業者でCTOを務めるニア・ズーク氏だ。同氏はその経緯を次のように振り返る。

「2004年頃から、Webブラウザが使うポートを利用してチャットやファイル共有ができるようなアプリケーションが数多く登場し始めた。企業のIT部門はすぐにこうしたモダンなアプリケーションに対して、従来のファイアウォールがまったく役に立たないことに気づいた。こうしたアプリケーションはWebの通信ポートを利用するため、ファイアウォールでは通常のWebサイトへのアクセスなのか、ファイル共有による通信なのかを見分けることができなかったのだ。企業においてアプリケーションの利用を野放図にすれば、情報漏洩のリスクは拡大するばかりだ。顧客から『どのような対策をとればよいのか』という相談を受けるなかで、新しいファイアウォー ルをゼロから作り上げる必要性を痛感した」

ズーク氏は、1990年代にチェック・ポイント・ソフトウェア・テクノロジーズでファイアウォールの中核技術「ステートフルインスペクション」を開発したメンバーの1人だ。その後、世界初のハードウェアIPSを発明したワンセキュアを設立、ネットスクリーン、ジュニパーネットワークスといったネットワーク/セキュリティベンダーで、CTOとしてファイアウォール技術の発展に尽力。そして、2005年に、新たに開発した次世代ファイアウォールを展開すべく、パロアルトネットワークスを設立するに至った。

「企業のデータを運ぶアプリケーションはすべてリスクにつながる。電子メールやWebを利用するうえでセキュリティ対策が不可欠であるように、アプリケーション自体に対しても対策が急務の課題になっている」

アプリケーションがもたらす情報漏洩のリスク

ズーク氏によると、情報漏洩のリスクを高める3つのタイプのアプリケーションに注意する必要があるという。

1つ目は、「Dropbox」や「Sugarsync」といった、クライアント/サーバ型のファイル共有ソフトだ。これらは、クライアントPCに保存されたデータをサービス事業者のサーバ上に自動的にアップロードし、複数のクライアントPC間でデータを同期させるタイプのアプリケーションだ。サーバを介して、会社のPC上にあるファイルを自宅のPCから閲覧できるといった利便性の高さから、近年、企業内で利用するユーザーが増えている。

クライアント/サーバ型のファイル共有ソフトにおける情報漏洩のリスク

だが、自宅のPCが何らかのマルウェアに感染した場合、職場のPCの共有フォルダに置かれたデータがそっくり流出することにつながりかねない。また、共有フォルダ内にうっかり機密データを保存すれば、それが自動的にサーバ上にアップロードされてしまい、サービス事業者から情報が漏洩する可能性もある。実際、Dropboxでは、ソフトウェアのバグよりもすべてのアカウントに誰もがアクセスできる状態が4時間も続くという事故が起こっている。ユーザーの操作ミスにより、共有フォルダの設定をすべて公開し、第三者が自由に閲覧できる状態になる可能性も残る。

2つ目は、「Skype」やチャットクライアントといったP2P型複合コミュニケーションソフトだ。Skypeに代表されるように、これらのアプリケーションは、チャット機能のほか、通話機能、ファイル転送機能を有しており、無料で利用できることが大きなメリットだ。企業内では、海外拠点などの地理的に離れた相手とのコミュニケーションのツールとして利用されるこ とが多い。

P2P型複合コミュニケーションソフトにおける情報漏洩のリスク

ただし、ファイル転送機能には情報漏洩のリスクが常につきまとう。特にSkypeは、強力な暗号化機能によって通信内容が保護されており、企業の管理者は、だれがどんなファイルを転送しているかを知ることができないという課題がある。さらには、チャットに熱中するあまり、業務の生産性が低下することも、リスクの1つと言えよう。

3つ目のリスクは、マイクロソフトの「Office Live」や「宅ファイル便」といったWeb型のファイル共有サービスのアプリケーションだ。これらのサービスは、Webを経由してどこからでもアクセスでき、ファイル共有やファイル転送が簡単に行えることが大きな特徴だ。一方、リスクとしては、クライアント/サーバ型のファイル共有と同様に、自宅PCからの情報漏洩、クラウド側からの情報漏洩、操作ミスによる情報漏洩といったものが挙げられる。

Web型のファイル共有サービスのアプリケーションにおける情報漏洩のリスク

外部からの侵入リスク、情報流出のリスクも

もっとも、セキュリティリスクは情報漏洩だけにとどまるものではない。最近では、アプリケーションを提供側の想定とは異なる使い方をすることで、新たなリスクを生まれるケースも増えている。

例えば、TeamViewerなどのリモートコントロールソフトを使った外部からのアクセスだ。TeamViewerはサポートセンターなどで用いられるPCのリモートコントロールソフトで、クライアントPCが社内ネットワーク上に置かれていても簡単に接続できることが特徴だ。無料で利用できることから、自宅のPCと職場のPCにソフトをそれぞれインストールして、自宅から職場のPCにリモートアクセスするといった使い方をするユーザーが増えている。ファイアウォールの設定を変えたり複雑な設定は何もなく、外部からのリモートアクセスが簡単にできるため、社内の機密情報にアクセスできるような脅威の侵入経路を作ってしまっているのだ。同様に簡易VPN接続で職場から自宅のPCに接続するケースもある。

リモートコントロールソフト「TeamViewer」におけるリスク

また、国内では従業員がTwitterやFacebookなどのSNSに顧客のプライベートな情報を書き込み、顧客の個人情報がインターネット上に公開されるといった事件も頻発した。個人情報の流出とともに、SNSなどの不適切な利用が企業の信頼性を低下させるリスクが生じているというわけだ。

「こうしたアプリケーションを利用するうえでの最大の問題は、管理者がアプリケーションを適切に管理できないことにある」とズーク氏。

では、アプリケーションを適切に管理するには、どのような方針の下、どのような対策を講じるのが望ましいのか? 次回は、国内におけるアプリケーションの利用状況を踏まえながら、アプリケーションを管理することによってもたらされるメリットを紹介する。