開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

株式会社サテライトオフィス、NRIセキュアテクノロジーズ株式会社、EVIDIAN-BULL JAPAN 株式会社、EMCジャパン株式会社RSA提供コンテンツ

  • スペシャル
  • 会員限定
  • 2017/06/05
 ヤフー楠正憲氏が語る「引き算の認証・アクセス基盤整備」で情報漏えいを防ぐ方法

ランサムウェア「WannaCry」のインシデントが大きく報じられた。企業はランサムウェアをはじめとするマルウェア感染、不正アクセスなどのサイバー攻撃に備えなければならない。その一方、業務デバイスが多様化し、業務に必要なモビリティ確保にも対応しなければいけない。企業はどのようにID統制、認証基盤を整備していけばよいのか。ヤフーCISO Board / CDO Boardの楠 正憲氏に、不正アクセスや情報漏えいを防ぐための業務設計と、情シス部門のリーダーシップのあるべき姿について話を聞いた。


photo
ランサムウェア「WannaCry」のインシデントの対応に追われた日本企業、一方でデバイスは多様化し、その管理も複雑になっている。


デバイス管理は、「情シスで管理できているものがすべて」ではない

──5月に入り、「WannaCry」の感染が大きく報じられました。最近のインシデントの動向などについてお感じになることをお聞かせください。

楠氏:「WannaCry」に限らず、何か大きなインシデントがあったときに、企業がまず行うことは、「会社に何台コンピュータがあるか」「それらに最新のセキュリティパッチが適用されているか」「不正なリンクをクリックした社員はいるか? その台数は?」という状況を可視化していくことです。

 その際に、会社のシステムを使うユーザーが認証できていて、どの端末を、誰が管理しているかがはっきりしていないと正しく状況を把握することができません。こうしたことは、インシデント発覚後に整備することは困難で、平時から認証基盤を整備し、デバイス単位で管理状況が棚卸しされていることが望ましいわけです。

 一方で、デバイス管理というのは、情シス部門からは「管理されているものしか見えない」ことにも注意が必要です。

──いわゆる「シャドーIT」の問題ですね。

楠氏:会社が購入、管理しているPC以外の機器はたくさんあります。PCだけでなく、あらゆる「モノ」にLinux OSが搭載され、ネットワーク通信機能が備わり、そうしたものの多くはファームウェアがまともに更新されていない場合があります。

 ありとあらゆる電子機器の棚卸しというのは、現実的にはできていません。これから、デバイスがインテリジェントになればなるほど、情シス部門が管理できていないネットワークデバイスも増えていきます。

 ですから、「ウチの会社はちゃんとMDM(モバイルデバイス管理)ツールを入れているから、パッチが100%適用されている」というだけでなく、今回のようなインシデントがあったとき、デバイス管理のログだけでなく、外部向けの通信がないか、ランサムウェアに特有の通信ログが残っていないかを確認して欲しいです。

 管理ツールのよいところは一元的に管理、可視化できる点ですが、そこで見えることがすべてだとは限りません。必ず、別の観点からクロスチェックをかけることが重要です。

この記事の続き >>
・統制された環境整備と業務上必要なモビリティに投資する時代
・CIO、CISO主導の「ルール化」「ツールの提供」が重要
・情シス部門は「引き算の発想」が大事になってくる

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

関連コンテンツ

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!