アプリ利用状況を把握しないのは「目隠しして地雷原を歩くようなもの」
今回の“事件”が報じられたあと、次世代ファイアウォールベンダーのパロアルトネットワークスでは12月31日(米国時間)に自社製品でBaidu IMEへの対応を行った※8。同社の「PAシリーズ」は、ネットワークを監視して約1800種類のアプリケーション通信を識別し、どのPCでどのアプリが使われているかを把握するとともに、必要であれば通信をブロックできる。
※8:Baidu IMEへの弊社の対応について(2013/12/31、パロアルト)
1月上旬の段階で、同社にはすでに100件を超える問い合せがあったという。パロアルトネットワークス 技術本部長の乙部幸一朗氏は、いわゆる“PC遠隔操作事件”のあとに問い合わせが増えたことがあったが、今回ほどではなかったと語る。
「内閣官房や総務省からの指示を受け、対応に迫られている中央官庁や地方自治体からの問い合せが中心。一方で、すでにパロアルト製品を導入している企業からは、Baidu IMEをインストールしたPCが数十台、数百台単位で見つかったとの報告も受けている」(乙部氏)
乙部氏も、今回のようなセキュリティリスクへの対策は、まず自社/組織内でどのようなアプリケーションが使われているのかを具体的に把握する「アプリケーションの可視化」が重要だと強調する。
「どのようなアプリケーションが使われているかが“見えない”環境は、IT管理者にとってある意味で幸せかもしれないが……。それでリスクが減るわけでも、管理者が責任を免れうるわけでもない。目隠しをして地雷原を歩くようなものだ」(乙部氏)
欧米ではCIO(最高情報責任者)やCSO(最高セキュリティ責任者)といった役職が確立されており、潜在的なリスクを調査して把握すること、その対策を取ること、報告することが責務となっている。「してはならない」利用ルールを決めてエンドユーザーに押しつけるだけでは、責任を果たしたことにはならない。
まずは「アプリケーションの棚卸し」から始めるべき
さらに乙部氏は、これまでの経験から、大抵の企業/組織では「どのアプリケーションの利用を禁止すべきかもわからないものだ」と語る。今回の場合は「Baidu IME」という具体的な名前が挙がったが、もっとマイナーな(なおかつリスクの高い)アプリが社内/組織内で使われている可能性もある。さらに、たとえばFacebook、Dropbox、Skypeなど、情報漏洩リスクとビジネス活用のメリットとを天秤にかけて検討しなければならないようなアプリもある。
「まずは『アプリケーションの棚卸し』を行い、社内/組織内でどのようなアプリケーションが使われているかの現状を管理者が把握すること。そのうえで利用を禁止するのか許可するのか、あるいは特定のユーザーにだけ利用を許可するかといったルールを決めていくべきだ」(乙部氏)
社内で利用されているアプリが具体的に把握できれば、そのセキュリティリスクも調査しやすい。たとえばBaidu IMEのクラウド入力のような、リスクの高い特定の機能について組織内で注意喚起することもできる。
社内/組織内のPCにどのようなアプリケーションがインストールされているかを調査する場合、ソフトウェア資産管理ソフトを使うのが一般的だ。ただし、これは不正コピーソフトの調査などを主目的とした製品であり、セキュリティ調査に最適とは言いがたい。乙部氏も、資産管理ソフトではFacebookやGmailのようなWebアプリ、あるいはマルウェアなどは検知できないことを指摘し、PAシリーズのような次世代ファイアウォールの価値を強調した。
「PAシリーズの導入を提案する際には、まず無料の事前評価(PoC)を提供している。顧客ネットワークにつないでアプリケーションを可視化し、レポートを提出すると、管理者の想像以上に多くのアプリケーションが使われていることがわかり、驚かれる。今回のような事件が報道されるたび、情報セキュリティへの注目は一時的に高まるもののなかなか長続きしない。企業や組織への継続的な啓蒙が必要だと考えている」(乙部氏)
セキュリティ脅威は日々変化を続けている。今回の“事件”をきっかけとして、あらためて自社/自組織の情報セキュリティ体制、IT管理体制が最新の脅威に対応できるものになっているかをあらためて確認すべきだろう。