セキュリティベンダに聞きました

どう対策すべき? “モバイル”のセキュリティ


宮田 健
@IT編集部
2009/2/18




 データのモバイル:USBメモリによる感染の拡大

 そしてもう1つ注目したいのが、データをモバイルするという観点――USBメモリだ。USBメモリはGbytes(ギガバイト)を超える大容量のものが、親指大という大きさで容易に持ち運びが行えるようになった。その半面、紛失や盗難のリスクが高いばかりでなく、近年ではUSBメモリをターゲットとしたウイルスやワームも登場し、企業が最も注意しなければならない「モバイルデバイス」でもある。

 USBメモリに向けた製品として、マカフィーはサンディスクが提唱しているU3規格向けのUSBフラッシュドライブに対応するウイルス対策ソフト「VirusScan USB」を提供している。また、ウイルス対策をUSBメモリ単体で行う製品をトレンドマイクロがUSBストレージベンダ向けに「Trend Micro USB Security for Biz」として提供している。これらのニーズはコンシューマだけでなく、USBメモリメーカーから強い引き合いがあるということだ。現時点においてUSBメモリをはじめとするリムーバブルストレージを取り扱うのならば、通常のウイルス対策ソフトに加え、これらのような対策もあわせて取ることも検討すべきだろう。

 またWindows 7では暗号化リムーバブルストレージの認証を行うIEEE 1667がサポートされるといわれており、ビジネスにおけるUSBストレージの利用も標準化が進むとみられる。

【関連記事】
IEEE APPROVES AUTHENTICATION STANDARD FOR USB FLASH DRIVES AND OTHER PERSONAL STORAGE DEVICES
http://standards.ieee.org/announcements/pr_IEEE1667_new.html

Authentication in Transient Storage Device Attachments
 →該当記事

 常に最新デバイスへの対策を

 モバイルというジャンルには、今後も多くのプロダクトが登場してくるだろう。すでにiPhoneやAndroidなど新ジャンルのスマートフォンも存在する。

 これらの新しいデバイスにも積極的に対応する姿勢を見せるのがカスペルスキーラブスジャパンだ。カスペルスキーのセキュリティ対策製品はWindows向けだけでなく、Windows Mobile向けの「Kaspersky Mobile Space Security」や「Windows Server 6.0 Home Server Edition」を用意している。またMacintosh対応版についてもすでに稼働するものが完成しており、あとはユーザーインターフェイスの調整を残すのみというレベルだという。

カスペルスキーラブスジャパン
技術部 保科貴大氏(左)
エンタープライズ事業部 長門慶悟氏(右)

 カスペルスキーラブスジャパン 技術部サポートエンジニアの保科貴大氏は「カスペルスキーの人間はみな新しもの好きであるので、新デバイスへの対応もフットワークが軽い」という。Android対応も検討段階に入っているという。

 さらに、カスペルスキーが提供するウイルスパターンには、ゲーム機であるプレイステーションポータブル(PSP)やニンテンドーDSに関連するものも含まれているという。ゲーム機の一部にはPCでファームウェアをダウンロードし、アップデートする機能を持つ。そのファームウェアに偽装したマルウェアが報告されており、なかには「ニンテンドーDSを故障したように見せ掛け、修理時に任天堂のサポートにとても見せられないような画像を表示する」というようなものもあるそうだ。

 そして新分野ということではネットブック/UMPC向け“専用”のセキュリティ対策製品の可能性についてそれぞれのベンダに聞いてみたところ、返ってきた答えはすべてのベンダが「検討中」というものであった。ただしこれは、非力なCPUパワーに合わせ「機能を削減する」方向での対応ではなく、ネットブックベンダに対しプリインストールの形で提供する、また光学デバイスが付属しないことを考え、USBメモリやインターネット経由での販売を検討するなど、提供する販路について調整中ということだ。これはつまり、PCの大きさや用途によらず、ベストなセキュリティ対策をそれぞれのベンダがすでに製品化しており、ネットブックだからといって機能を削るわけにはいかない、ということの表れであろう。

 すべてのベンダが指摘する「モバイル以前の対策」

 実はこの取材を行う前には、各社それぞれのソリューションがあり、製品中心のインタビューになるのではないかと考えていた。しかし、どのベンダも最後にはまったく同じことを指摘していたことが興味深かった。それは「モバイルセキュリティ対策には、まずセキュリティポリシーが必須」という点だ。

 機器単体としてのモバイルという意味では、スマートフォンや携帯電話、ネットブック、そしてUSBストレージなどの分類ができるが、企業から見たモバイルという点では、それぞれがなんらかのデータを入れる「入れもの」と見ることができる。そこでデータを中心に考えると、果たしてそれは「モバイルデバイスに入れてもいいデータなのか?」という命題に帰結する。

 そこで必要となるのは、企業の中にある「データ」の機密度がきっちりと分類されているかどうかだ。単純に“企業が持つデータ”といっても、まったく機密性のないデータもあれば、顧客の名簿や自社の売上管理表など、社外秘、機密といった分類のできるものがある。しかし、そのデータの分類を企業が行っていないと、データの流出、紛失が起こったときに、自社だけの問題となるのか、それとも取引先を巻き込んでしまったのかが把握ができない。

 多くのセキュリティベンダが、機密度に応じてUSBメモリにコピーさせない、メールに添付させないなどのコントロールを行える、「DLP(Data Loss Prevention:情報漏えい防止対策)」と呼ばれる製品を提供している。このような製品はアクセスのコントロールは行えるが、どのデータがコントロールすべきものなのかを決めなくてはならない。製品はポリシーの実行を補助するが、ポリシーの策定は人がやらなくてはならないのだ。

 セキュリティ対策の根本にあるべき“基礎知識”

 データの機密レベルを定義づける、セキュリティポリシーを定義し、それを運用する。セキュリティアップデートを行い、ウイルス対策ソフトを導入する……“モバイル”で必要なこれらのことは、いうまでもなくセキュリティ対策の基本だ。モバイル機器に対して新たな施策を打たなくてはならない企業は、実は基礎が固まっていないともいえる。企業内にはどのようなデータがどこにあるか、そして可搬性のあるデバイスは(企業のもの、持ち込みのものを含め)どのようなものがどこにあるのかを把握できているか――データとデバイスの可視化ができていれば、モバイルセキュリティ対策のほとんどは完了しているともいえる。

 モバイルセキュリティについての取材を通して、どのようなデバイスであれ、セキュリティ対策とは基本が重要であることを実感した。さて、読者の皆さんの企業では、“モバイルデバイスへのセキュリティ対策”はいかがであろうか。

2/2

Index
どう対策すべき? “モバイル”のセキュリティ
  Page1
ケータイをモバイル:携帯電話に入ったウイルス対策ソフト
PCのモバイル:ネットブック対策も通常のPCと変わらない
Page2
データのモバイル:USBメモリによる感染の拡大
常に最新デバイスへの対策を
すべてのベンダが指摘する「モバイル以前の対策」
セキュリティ対策の根本にあるべき“基礎知識”

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH