リモートワークやハイブリッドワークなど働き方が多様化している時代において、一般的なエンドポイントセキュリティ対策として、多くの企業でマルウェア侵入前の対策や侵入後の隔離・駆除する対策などが進められています。しかしこれだけでは万全とは言えません。
これから考えなければならないことは、物理的な情報漏洩リスクをなくすことにあるのです。まずは、その理由について解説していきます。
※このサイトは株式会社ZenmuTechをスポンサーとして、Zenken株式会社が運営しています。
エンドポイントセキュリティに物理的な情報漏洩対策が重要視される理由として、PCの紛失や盗難があります。
コロナ以降、リモートワークやノマドワークがあたりまえの時代になった今だからこそ対策の必要があります。
参照元:東京商工リサーチ
(https://www.tsr-net.co.jp/data/detail/1198311_1527.html)を基に作成
テキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキスト。
テキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキストがはいりますテキスト
当然ですが、もしPCが悪意のある人に渡ってしまえば、そこからデータを抜き出される可能性が非常に高まります。こうなるとマルウェア対策は意味をなしません。PCのセキュリティが脆弱であれば簡単に突破されて、重要な個人情報や顧客データ等を物理的に抜き出されてしまうのです。
VDI(仮想デスクトップインフラストラクチャ)は、サーバー上にデスクトップ環境を仮想化する技術です。これにより、ユーザーはどの端末からでもアクセス可能で、作業データを端末に残さずに利用できます。デスクトップ仮想化とも呼ばれ、OSやアプリケーションを含むデスクトップ環境をサーバーで一元管理する点が特徴です。
VDIでは、通常のデスクトップ環境で手元にインストールするOSやアプリケーションなどの基盤が、すべてサーバー上に配置されています。手元の端末は、サーバーで処理された結果を表示し、入力操作を行うだけ。実際の処理はサーバー側で行われ、端末はリモートでその操作を受け付ける役割に限定されます。
以下では、VDIのメリットとデメリットをまとめました。各アイコンをクリックするとそれぞれの説明が表示されます。
VDIで作業する際、クライアント端末には作業データが一切保存されません。クライアント端末にはハードディスクなどの記憶装置を搭載する必要もなく、デバイスを紛失や盗難に遭った場合でも、情報漏洩のリスクを最小限に抑えることができます。
VDIは、社内だけでなく外出先や自宅、サテライトオフィスなどからも利用できるため、テレワークや在宅勤務に適しています。クライアント端末にデータが残らないため、情報漏洩のリスクが低減されるのも大きなメリットです。
通信速度が遅いと操作にタイムラグが発生し、使いづらさや不便さを感じてしまいます。
VDIでは、クライアント端末に障害が発生しても大きな問題にはなりませんが、ネットワークやサーバーに不具合が起きると、すべてのクライアントが影響を受けます。そのため、サーバーの管理とメンテナンスが非常に重要です。
クライアント端末には高性能や多機能は求められませんが、サーバー側には大量のリソースが必要です。VDIの基本構成では、端末の機能を最小限に抑え、その代わりにサーバーで多くの処理を行います。特にオンプレミス型では、この点でコストや導入の手間が増える傾向があります。
セキュアFATとはFAT端末の快適性を活かしながら、セキュリティ対策を強化することを目的とした新しいソリューションのことです。VDIのメリットを担保しながら、コストやパフォーマンス面でそのデメリットをカバーしたものと考えると分かりやすいでしょう。
データレスクライアントとは、ローカル環境にデータを保存せず、データ処理のみを行うPCのこと。業務に必要なファイルやソフトウェアなどのデータは、社内の専用サーバーに保存され、必要に応じてそのキャッシュを一時的にローカル環境にダウンロードして使用できるのが特長。
秘密分散技術とは、データを複数の断片に分割して保存し、利用時に再結合して取り出す暗号化技術の一つです。各断片は単体では無意味なデータであり、1つが盗まれても情報の内容を知られることがないという高いセキュリティ性を備えている点が特長です。
Zenken株式会社が運営する本メディア「次世代エンドポイントセキュリティ対策ラボ」では、秘密分散技術を用いてデータを無意味化することで、情報漏洩を「防ぐ」のではなく「ならない」という新しい考えで独自のサービスを展開している株式会社ZenmuTech監修のもと、これからの持ち出しPCの情報漏洩対策に関して解説をしていきます。
画像引用元:株式会社ZenmuTech公式HP
https://zenmutech.com
株式会社ZenmuTechは、AONT秘密分散技術を活用したデータ保護ソリューションを提供している企業。「情報漏洩は防げない」ことを前提に、守らずに防ぐという発想の転換で、意識せずにセキュリティを享受できる情報漏洩対策ソリューション「ZENMU」を開発した企業です。
重要な情報を漏洩や盗難から守るため、昔からさまざまな「暗号化」の手法が用いられてきました。情報セキュリティにおいて、暗号化は情報に鍵をかけるようなものです。しかし、鍵が盗まれたり解読されたりすると、情報が漏洩してしまいます。この問題を解決するために、鍵を使わない新しい手法として考案されたのが「秘密分散技術」です。
この秘密分散技術の一つであるAONT方式という技術では、元データに特定の演算を施し、元データとほぼ同じ大きさの出力データを生成します。この出力データは、すべてのビットが揃っている場合にのみ元データに容易に復元できますが、一部のビットが欠けると復元が不可能になる特性を持ちます。
例えば、元の情報を3つの分散片に分割した場合、それら全ての分散片を集めないと、元の情報を復元することはできません。一つでも分散片が欠けると、元の情報を再構築できない技術です。
情報を暗号化する際、まず暗号鍵を生成し、それを使って情報を保護しますが、鍵を使い回すことで複数のドキュメントが一度に解読されるリスクが生じます。鍵が盗まれると過去の情報もすべて漏洩する可能性があります。一方、AONTを用いた秘密分散技術では、情報ごとに分散片に分けるため、鍵の共有や使い回しが発生せず、情報が更新されても再度分散が可能です。これにより、特定の分散片が重要になることはなく、リスクを分散させ、安全な情報管理が実現できます。
では、VDIと比較した際に秘密分散技術を用いるメリットはどこにあるのでしょうか。コスト、ネットワーク、セキュリティ面から見ていきましょう。
秘密分散技術を用いた情報漏洩対策は、VDIに比べ初期導入コストや運用コストが低く抑えられる傾向にあります。データ分散によりセキュリティが強化され、スケーラビリティの面でも優位です。
秘密分散技術は、データを複数の断片に分割して異なる場所に保存することで、ネットワーク負荷を分散します。VDIと比較して、通信が集中せず、帯域幅を効率的に利用できる点がメリットです。
秘密分散技術はデータを複数の断片に分割して異なる場所に保存するため、すべての断片が揃わなければ元のデータを復元できません。仮に一部のデータが漏洩しても、そのデータ自体は意味をなさないため情報漏洩を防ぐことができます。
ZenmuTechが開発したZENMU Virtual Driveは、VDI並みの高いセキュリティ性を確保しながらも、VDIのデメリットでもある、コスト面、パフォーマンス面を補った新しいソリューションです。ここでは実際に利用した企業の声を見てみましょう。
PCの情報漏洩対策としてBitLockerでの暗号化とクラウドストレージへのデータ保存を徹底していたが、盗難時のリスクが残り、不安を払拭できなかった。そこで、より強力なセキュリティサービスの導入が検討された。
ZENMU Virtual Driveを採用した理由は、高度なセキュリティを提供しながら、新たなシステム導入を不要とする手軽さにあった。PCにインストールし、設定を行うだけで、データの「無意味化」と分散保存が自動で行われ、万が一の紛失や盗難時にもデータ流出を防げる点が大きな魅力だった。
ZENMU Virtual Driveを導入し、全社的なセキュリティ強化を実現。クラウドからの一括設定配布が可能で、多数のPCに簡単に展開できる点を高く評価。
特に、PCが紛失・盗難された際にデータを無意味化し、外部ストレージをロックすることで、情報流出を防げる安心感が大きな効果であり、これにより、PCの紛失を「情報漏洩」ではなく「機材の紛失」として扱えるため、企業のリスク管理に大きな転換をもたらした。
ピーエスシーでは、従来より持ち出しPCの情報漏洩対策としてディスク暗号化を行っていた。しかし、ディスク暗号化ではPCのローカルディスクにデータの原本が残るため、盗難や紛失時に情報が読み取られるリスクを完全には排除できなかった。
ZENMU Virtual Desktopは、データファイルを無意味化し、2片に分割してその一部をクラウドに保存。これにより、PCのローカルディスクにはデータの原本が存在せず、盗難や紛失が発生しても情報漏洩のリスクがなくなる。この利点が非常に魅力的であり、自社内での導入が決定した。
ZENMU Virtual Desktopの採用により、持ち出しPCから情報が漏洩する不安から解放され、在宅勤務体制へ移行した際も慌てて特別な施策を講じることなく従業員に安心してPCを持たせることができた。
PCへのZENMU Virtual Desktopの適用は製品をPCにインストールするだけで完了するため、展開に手間はかからなかった。しかも、同製品の適用でPCの操作が大きく変わるわけではなく、秘密分散処理もフォルダにデータファイルを格納するだけで自動的に行われるため、モバイルワークの現場では、違和感なく日々の業務が行えている。
上記の事例から読み取れるのは、現状のセキュリティ対策では不十分であり、リモートワークなど持ち出しPCを許可することができなかったというところ。
そのような不安を払拭したのが「ZENMU Virtual Drive」。さらにこの製品の魅力として導入のしやすさや使い勝手の良さもあげられるでしょう。いくら高いセキュリティを発揮できたとしても、生産性が落ちては意味がありません。
仮に会社の機密情報や取引先の情報が入っている社用PCが紛失・盗難され、そこからデータが流出した場合、損害賠償や法的責任を問われる可能性があります。場合によっては会社の存続まで危ぶまれることもあります。
紛失した社用PCが第三者に渡ると、内部情報をもとにサイバー攻撃の標的になるリスクがあります。ランサムウェアによる身代金要求や、なりすましのスパムメール送信が発生する可能性もあり、自社だけでなく関係各社にも被害が広がる恐れがあります。
社用PCが紛失し情報が漏洩すると、システムの安全性確保や被害拡大防止のため、関連業務が一時停止されることがあります。これにより、業務進行が遅れ、通常業務が滞り、取引先や顧客対応にも支障をきたす可能性があります。
社用PC紛失による情報漏洩や不正利用が発覚すると、企業の信頼度やブランドイメージが大きく損なわれ、責任問題が浮上します。重大なコンプライアンス違反として、メディアに取り上げられることもあり、深刻なダメージを受ける可能性があります。
働き方にも多様性が求められる今、多くの企業は社用PCの持ち出しを推進していかなくてはなりません。その際に重要なポイントは、紛失や盗難を確実に防ぐことはできないという考えを持つことでしょう。仮に紛失・盗難が起こったとしても、そのデータを抜き出すことができなければ、情報漏洩ではなく物損として扱うことができます。それが最終的に企業の信頼にもつながることになります。
一時期注目が集まったVDIは高いセキュリティ性を発揮するものの、コスト、ネットワーク、ユーザビリティの観点から使いづらいという声があがっています。ここではVDIがなぜそのように言われるのか詳しく解説していきます。
ここではPCのリモートワイプとはそもそもどのようなものか、情報漏洩対策として十分なのかについて解説しています。
エンドポイントセキュリティにはEPP、NGAV、EDR、DLPの4種類があり、EPPとNGAVはマルウェアの侵入前に検知します。EPPは既知のマルウェアを、NGAVは既知+未知のマルウェアを検知可能です。EDRは侵入後のマルウェアを検知し、管理者の対応をサポートします。DLPは機密情報の漏洩防止に特化し、不自然なデータ送信やコピーを制限します。
EPP(エンドポイント保護プラットフォーム)は、既知のマルウェアを検知してエンドポイントへの侵入を防ぎます。一方、EDRはエンドポイントに侵入した後のマルウェアを検知し、被害を最小限に抑えるために管理者を支援します。
NGAVはAI機械学習や振る舞い検知機能を備え、未知のマルウェアも侵入前に検知します。一方、EDRはマルウェア侵入後の対応を重視し、検知後に管理者に通知し、原因究明に役立つデータを提供します。
DLPは機密情報の漏洩防止を目的とし、重要なデータを監視して不自然な送信やコピーを制限します。これにより、外部からの不正アクセスだけでなく、内部からのデータ持ち出しによる情報漏洩も防止できます。
