すべての活動分野でのBring Your Own Device戦略(BYOD、仕事用の個人用デバイスの使用)の広範な使用により、ビジネスプロセスを加速し、ほぼ瞬時に関連情報を受け取り、同僚とのコミュニケーションを簡素化できます。 従業員の明らかな使いやすさと機動性により、情報セキュリティの多くの問題とリスクが発生します。これについては、この記事で説明します。
現代の多くの企業は、従業員のモビリティとビジネス情報セキュリティのバランスを見つけ、個人用デバイスの管理の有効性に関連する多くの新しいタスクを解決し、その使用のセキュリティを確保する必要に直面しています。
個人のラップトップ
仕事の目的で、または補助デバイスとしてパーソナルラップトップを使用することは、かなり一般的な方法です。 それでも、これはIT / IS従業員の主な頭痛の種の1つです。デバイスには、重要なデータが含まれたり、企業ネットワークのリソースへのアクセスの詳細、電子メールなどが含まれる場合があります 明らかな理由から、そのようなデバイスのコンテンツを制御し、それらの完全な保護を確保することは非常に難しく、本質的にむしろ助言的です。 はい、セキュリティポリシーが個人用機器の使用規則を厳密に定めているか、むしろそれらの使用の禁止を定めている企業がありますが、それにもかかわらず、多くの場合、管理またはその他の手段にもかかわらず、これらのヒントを無視しています。 個人用デバイスは、標的型攻撃に対して最も脆弱である可能性があります。 攻撃者は、適切なセキュリティ対策で構成およびサポートされている専門家の管理下にあるデバイスよりも、さまざまな攻撃または影響方法を使用して「孤独な」ラップトップを攻撃する方がはるかに簡単です。
「ホーム」デバイスのもう1つの問題は、ほとんどの場合、現代のユーザーがローカル管理者権限で作業することです。これにより、たとえば社会技術攻撃を使用して、悪意のあるコードをこれらのデバイスに配信する機能が簡素化されます。
誰もがデータの定期的なバックアップについて聞いたことがありますが、実際にはすべてが非常に悲しいです。これらのプロセスを制御する規範や規制がない場合、デバイスのユーザーはそれについて非常にまれにしか考えず、それをさらに少なくします。
IT部門の典型的な悪夢は、個人のラップトップに保存されている保護されていない情報であり、空港やタクシーで紛失する可能性があります。 「ログイン」パスワードは適切なセキュリティ対策を提供し、スパイ映画の領域のようなデータ暗号化を指すと信じている人があまりにも多くいます。
スマートフォン
最近のスマートフォンやタブレットは、PCに保存されている企業データの点でPCとの違いが少なくなっています。 電子メール、企業文書、専門サービス、ビジネスの連絡先とカレンダー、メモ、計画、勤務スケジュールへのアクセス-このようなデバイスは、攻撃者がそのようなデバイスをキャプチャするかアクセスすることで取得できます。
デバイスの紛失または盗難が発生した場合の大きなリスク要因は、責任者に即座に通知できないこと、またはデバイスへのアクセスをブロックできないことです。
また、スマートフォンやタブレットは、Man-in-the-Middleクラスの攻撃を受けやすくなります。 スマートフォンの所有者の移動ゾーン内の空気を制御することは非常に難しく、モバイルデバイスを「既知の」アクセスポイントに接続するのは非常に簡単です。 ほとんどの場合、アクセスポイントに接続した後、所有者の知識や希望なしに、トラフィックを傍受して置き換えたり、デバイスを直接攻撃したりすることもできます(Androidの場合、Metasploit Frameworkの特別なモジュールを使用できます)。
また、Androidデバイスの場合、特定の悪意のあるプログラムに感染する可能性が高くなります。 これは、そのようなデバイスが最も使用されているという事実だけでなく、このOSを実行しているデバイスの脆弱性の数が恐ろしく増加しているためでもあります。
根ざした/ジェイルブレイクされたデバイスの場合、データの損失または盗難のリスクはさらに高くなります:これは、未知のソース、無制限かつ弱く制御された権限からアプリケーションをインストールすることです-ほとんどのユーザーは警告を読んでアプリケーションからのほとんどの要求を確認しません。
クラウドストレージ
クラウドテクノロジーは、企業データにアクセスするためのより多くのオプションと利便性を提供しますが、同時にデータ漏洩または盗難のリスクを高めます。
これは、ネットワークへの無秩序なアクセス、ほとんどのユーザーの比較的弱いパスワードポリシー、社会技術的ベクトルの使用による標的型攻撃の脅威への不十分な準備によるものです。
さらに、個人のモバイルデバイスのネイティブクラウドストレージ(gmail、icloud、onedriveなど)はIT /情報セキュリティ部門の管理外であり、侵入者によって侵害される可能性が非常に高いです。
セキュリティソリューション
個人のモバイルデバイスの使用を拒否できない場合は、これらのデバイスを会社のセキュリティポリシーに含める必要があります。
- デバイスのバックアップと保守の責任範囲を設定します。
- パブリックアクセスポイントで使用する場合のVPN接続の使用。
- インストールされたアプリケーション、ブラックリストおよびホワイトリストの制御。
- デバイスにアクセスするためにデバイスに保存されている重要なデータまたは情報の制御を確保する。
- 疑わしいケースまたはインシデントの技術担当者への通知。
- デバイスの定期的なチェック。
- ユーザーに現在のモバイルの脅威を常に通知します。
MDMの実装
ウェアラブルデバイスが会社に属している場合、一般的に受け入れられているBYOD保護プラクティスを使用して保護する方が簡単で効果的です。 企業のモバイルデバイスでは、個人データと専門データの混合の割合が少ないため、ユーザーの行動の自由に対するいくつかの制限が正当化され、適切です。 この場合、使いやすさよりもバランスがデータ保護に偏っています。 これらの目的のために、特殊なデバイス(Blackberry)と、リークを防ぐための特別な予防措置の両方を使用できます。
次の手順を含むデバイスセキュリティ計画が必要です。
- ウェアラブルデバイスでこの情報またはその情報を使用するための脅威とリスク要素を特定します。
- 会社の境界外の企業データへのアクセスポリシーを作成する必要があります。
- 追加のクラウドストレージセキュリティ対策を提供します。
- アプリケーション制御を設定します。
- 適切なパスワードポリシーの確保。
- 保護具の設置とメンテナンス。
- データ暗号化対策を実装します。
- デバイスをリモートで制御する機能を設定します。
- デバイスの紛失または盗難の場合に情報を破壊する手段を提供します。
- 従業員が解雇された場合のデバイスの廃棄または返却。
- BYODポリシーの管理違反を実装します。
上記のすべての手段は、モバイルデバイス管理(MDM)クラスのシステムを使用して適用できます。これにより、会社の従業員に提供されるデバイスでも従業員自身のデバイスでも、さまざまなモバイルデバイスをリモート(中央)で管理できます。 モバイルデバイス管理には通常、リモートでセキュリティポリシーを更新する(企業ネットワークに接続しない)、アプリケーションとデータを配布する、構成を管理してすべてのデバイスに必要なリソースを提供するなどの機能が含まれます。 MDMソリューションは、組織のISポリシーを実装する手段の1つであり、他のツールと同様に、意図された目的に使用され、正しく構成されていれば効果的です。
ただし、このソリューションはすべての脅威に対する万能薬ではありません-ネットワークが存在する場合にのみデバイスをリモート制御できるため、デバイスは物理的な攻撃(データネットワークの切断またはメモリのコピー)に対して脆弱になります-特殊な環境での分析のためのデータのクローン作成またはデータの抽出と復号化、したがって、ウェアラブルデバイスでのアクセス制御とデータ構成のコンプライアンスのみが、重要なデータまたはデータへのアクセスの漏洩や盗難のリスクを減らすことができます。