アプリケーションのコントロール
イネーブルメントとは、ユーザーとその挙動、そしてアプリケーションとそれに関連するリスクを知って理解することである。人気のあるアプリケーション(たとえばソーシャルメディア)の場合、ユーザーはずっと前から利点を知って便利に使っているため、その脅威やリスクのことを忘れてしまいがちである。結論として、ユーザーのニーズと、それにもっとも適切なアプリと機能をマッチさせることが不可欠であると言える。一方で、これらのアプリケーションや機能に潜む潜在的なリスクについてユーザーを教育していくことも重要である。
アプリケーションの許可においては通常、不必要にリスクの高いアプリケーションの使用を制限しつつ、許可されたアプリケーションも適切に管理し、こうしたアプリからのリスクを低減する。有効なポリシーを確立するには、ユーザーたちとの間でオープンな対話が必要になる。IT部門と管理部門は、どのアプリケーションが仕事で使うことが認められているのかを正確に知っていなければならない。ある種のアプリケーションは、マルウェアを呼び寄せるものとして知られていて、感染と、進行中の命令と制御に関与する。BitTorrentなどのピアツーピアアプリケーションは代表的な例である。
多くのアプリは善でも悪でもない
他方、良いアプリケーションか悪いアプリケーションか(白か黒か)を定義できないアプリケーションも数多くある。このようなアプリケーションは、企業のセキュリティポリシーではグレーとされる。
これらのアプリケーションはビジネスにおいて利点があるかもしれないが、相当のリスクをもたらす可能性もある。安全に利用可能にすることが、これらのアプリケーションに対する目標である。この場合、アプリケーションは使用可能になるが、必要な機能だけに制限され、よりリスクの高い機能についてはブロックされる。たとえば、ウェブ会議アプリケーションを利用可能にする企業は、遠隔地の攻撃者がマシンの制御を奪ってしまう危険性のあるリモートデスクトップについては許可しないようにする。ポリシーによっては、特定のアプリケーションや機能が制限されたり、アプリケーションがスキャンされ、許可されていないファイルやコンテンツが転送されていないか監視することもある。最終的な目標は、アプリケーションそのものではなく、アプリケーション中のリスクを取り除くことだ。
アプリケーションコントロールは、企業のセキュリティポリシーの一員となるべきである。アプリケーションコントロールポリシーを導入する過程の一部として、IT部門は新しく革新的なWeb 2.0アプリケーションを協力して学ぶ必要がある。これらのアプリケーションを、それぞれの目的に応じて容認し、必要に応じて実験室の環境下でインストールしたり利用可能にしたりして、どのように働くのかを調べる必要もあるだろう。会議システム、メッセージボード、ブログ、開発者のコミュニティは、有用な情報源になる。
ユーザーのコントロール
ほとんどの企業には何らかの種類のアプリケーション使用ポリシーがあり、どのアプリケーションが許可され、どのアプリケーションが禁止されているかが示されている。すべての従業員は、このアプリケーション使用ポリシーの内容と、従わなかった場合の結果を理解することが求められる。しかし、答えの得られていない疑問がある。アプリケーションの数と種類は日々増え続けているが、従業員はどのアプリケーションが許可されてどれが禁止されているのかをどうやって知ればよいのか。許可されていないアプリケーションのアップデートをどのように一覧化し、誰が従業員にその一覧が変更されたことを伝えればよいのか。ポリシー違反の構成要件は何か、ポリシー違反を犯した者はどうするか懲戒処分にするのか解雇するのか等々。
ポリシーガイドラインの開発は、難しく、意見が対立する作業である。何を許可して何を禁止するかを決定することは、一方で、リスクと利益のバランスを取り、利害関係者すべての意見を明確にさせなければならない。
プロセスをさらに複雑にするのは、新しいアプリケーションやテクノロジは、それらを安全かつ適切に使えるように統制する適切なポリシーができる前に、組織に定着してしまうからだ。
この連載の記事
-
第6回
TECH
最新セキュリティ技術WildFireとは? -
第4回
TECH
次世代ファイアウォールはどのようにマルウェアを撃破する? -
第3回
TECH
なぜ従来型のセキュリティ手法ではだめなのか? -
第2回
TECH
ボット、ボットネット、ボットハーダーについて知る -
第1回
TECH
セキュリティにおける最新の脅威とは? -
TECH
モダンマルウェアの脅威と対策 - この連載の一覧へ