(in) セキュア は、急速にエスカレートするサイバーセキュリティのトピックを掘り下げる週刊コラムです。
コンテンツ
- 大きな問題に対する簡単な解決策
- メディアのコントロール
- エンドポイントの制御
- GDPRとその先へ
Dropbox などのクラウド サービスが広く使用されているにもかかわらず、あるコンピュータから別のコンピュータに大量のデータを移動するには、便利な古い USB ドライブが最も迅速な方法である場合があります。 しかし、ある日、職場に行って、すべての USB ドライブが敷地内への立ち入りを禁止されていたことに気づいたらどうなるでしょうか? それが最近IBMで起こったことです。
最近流出したメモによると、IBM は 全従業員にUSBドライブの使用を禁止する. サイバーセキュリティの現状を考えると、そのような反応は当然かもしれませんが、本当にそれが最も効果的な戦略なのでしょうか?
大きな問題に対する簡単な解決策
「それがお尻を隠す最も簡単な方法です。見せるものすべてを禁止するというアナウンスをしましょう」 ポリシーを導入したということです」とキングストンの戦略的製品マーケティングマネージャーのルーベン・ルーゴ氏はDigitalに語った。 トレンド。 実際には、この種の政策は企業にとって有益であるよりもはるかに妨げになる可能性があると同氏は述べた。
「人々は自分の Dropbox や自分の Google ドライブを使い始めるでしょう。そうすればあなたは自分のファイアウォールを回避し始めるでしょう。」
「企業は最初から適切なリソースを適用しようとは考えていません」と彼は言いました。 「常に『手っ取り早い解決策は何ですか?』です。 本当に何かする必要があるの?』そして通常、それは物事を禁止することを中心に展開します[…] 実際には、モバイルワーカーが外出中に必要とする生産性と効率性が妨げられます。 分野。"
ここ数年、これまでで最大規模のデータ盗難や侵害が発生しました。 何億人もの人々を残す 個人情報の盗難、悪用、さらには 政治的操作。 そのため、多くの企業や個人がオンラインのプライバシーとデータ セキュリティをより真剣に考えるようになり、政治家までが改善方法を議論するテーブルに着くようになりました。 しかし、そうするためのすべての実践が必ずしも推奨されるわけではありません。 USB ドライブの禁止は、そのような行為の一例にすぎません。
USBラバーダッキー
USB ドライブを禁止することは、漏洩を防ぐ簡単な方法のように思えるかもしれません。 データを扱う人がデータが保存されている場所から物理的に削除できない場合、データの盗難はさらに困難になります。 しかし、そのような政策はIBMのような企業に新たな攻撃手段を与えるだけであり、問題の根本、つまり保護されていないデータの脆弱性には到達していないと主張する人もいるだろう。
この意見は、Malwarebytes の製品および研究担当副社長、ペドロ ブスタマンテ氏も同様であり、「システムからインターネットへのアクセスを切断することも非常に効果的です。 ほとんどの場合、それは現実的ではありません。 テクノロジーとインターネット速度の進化により、現時点では USB ドライブのリスクは比較的小さいです。 エンドユーザー (または従業員) の不満は、セキュリティ体制を少し改善するほどの価値はありません。」
IBMがリムーバブル・ストレージを禁止した理由は、意図的な情報漏洩であれ、ハードウェアの置き忘れによるものであれ、漏洩やデータ損失の事例を減らすためだと言われています。 私たちはこの禁止についてIBMにコメントを求めたが、返答は得られていない。
いずれにせよ、キングストンのルーゴ氏は、外部ドライブを禁止しても、人々が望んで、あるいは必要に応じてデータを社外に持ち出すことを阻止できないと考えている。
「意志あるところに道は開ける」と彼は言った。 「人々は自分のものを使い始めるでしょう。 Dropbox、独自の Google ドライブ そして、自分自身のファイアウォール、自分自身の保護を回避し始めると、実際には別の問題が発生するだけです。」
メディアのコントロール
ルーゴ氏の考えでは、IBM やそれに類する企業にとっては、デバイスを完全に禁止しようとするよりも、物理メディアとそこに含まれるデータを管理する方がはるかに良いでしょう。 彼は次のようなドライブの使用を推奨しています。 キングストン独自のアイアンキー 金属ケースやドライブのエポキシコーティングなどの物理的保護を組み合わせたデバイス デジタルデータを完全に読み取ることができないようにするハードウェア駆動の暗号化を備えた回路基板 詮索好きな目。
「そのユーザーが別のランダムな USB ドライブを接続すると、エンドポイントのセキュリティがそれを調べ、それが発行されたドライブではないことを認識します。」
Ironkey は Kingston が提供する製品の最末端に位置しますが、ブランドや製造元が何であれ、 デバイスでは、ハードウェア主導の暗号化を活用している限り、意図しないデータ損失をほぼ防ぐことができます。 全体的に。 従業員が機密データの入ったドライブを置き忘れたとしても問題ありません。 正しいパスコードがなければ、その情報にアクセスしようとしても、データは完全に読み取ることができません。
Kingston では、パスワード入力の最大数など、データへのアクセスを防止するための他の対策も講じています。 ブルートフォース ハッキングとリモート ワイプ機能 – 不満を抱いているユーザーやユーザーからの意図的な漏洩を防ぐことができる機能 元従業員。
「当社には管理ソフトウェアがあり、それによってドライブの地理的位置を特定したり、ドライブを監査してそこに何が入っているかを確認したり、複雑なパスワードを強制したりすることが可能になります」とルーゴ氏は語った。 「誰かが会社を辞めたり、解雇されたり、不満を抱いたりした場合、ドライブにメッセージを送信してドライブを役に立たなくし、ドライブを完全に消去する機能があります。」
エンドポイントの制御
ただし、物理メディア自体は、企業のデータ保護の一部にすぎません。 などを含む多くの証券会社が提供しているもの シマンテック, マルウェアバイト、 そして マカフィー、近年開発されているのは、エンドポイントプロテクションです。
「最良のセキュリティ ポリシーは、人材、プロセス、テクノロジーを組み合わせたものです。 他の 2 つがなければ 1 つは存在しません。」
エンドポイント保護は、デバイスによる接続ポイントでネットワークを保護する実践です。 通常、それは新しいラップトップまたは スマートフォン システムに接続されている場合は、USB デバイスなどの物理ドライブにも適用できます。 キングストンは、IBMのような企業がこれを利用して、完全禁止によって阻止しようとしているデータ盗難の一部を防ぐことができると考えている。
「[エンドポイント保護]により、管理者、IT、サイバーセキュリティに関わる人は誰でも、誰がUSBポートにアクセスする必要があるのか、誰がX、Y、Zデータにアクセスする必要があるのかを認識できるようになります」とルーゴ氏は述べた。 「その後、実際にユーザー プロファイルやユーザー グループを作成し、キングストン ドライブであろうと、キングストン ドライブであろうと、特定の USB ドライブを 1 つだけ許可することができます。 そのユーザーが別のランダムな USB ドライブを接続すると、エンドポイントのセキュリティがそれを調べて、それが発行されたものではないことを認識します。 ドライブ。 したがって、ユーザーがそのドライブにデータをやり取りすることはできません。」
物理メディア自体と、物理メディアと内部ネットワークとの接点を制御することにより、企業はより強力な制御を行うことができます。 保護されたシステムに出入りするデータに対して、少なくとも表向きにはすべての物理的なデータの使用を禁止するよりも、 メディア。
USB ドロップ攻撃デモ - Blackhat USA 2016
新しいものの一部 一般データ保護規則の法律 最近制定された法では、企業がデータに対して実際の責任を負い、データに誰がアクセスできるか、またデータがどのように保存されるかを制御することが求められています。 物理メディアを使用しないというポリシーを採用しているため、誰かがそのようなポリシーを無視し、それに対する社内の安全策を回避した場合に、IBM が真の責任を負うことは不可能になります。
暗号化されたドライブと強力なエンドポイント セキュリティを組み合わせることで、物理デバイスの強力な監査が可能になり、 無許可の物理メディアの使用、およびネットワークから削除されたデータを、検証済み以外の人が読み取れないようにして保護する パーティー。
GDPRとその先へ
GDPR が施行され、EU と取引するすべての企業に対して完全に施行可能になりました。 顧客にとって、デジタルの扱い方にこれまで以上に注意を払う必要がある企業が増えています。 情報。 USB デバイスの完全な禁止は、より厳しい罰金や仲裁システムの一部から何らかの保護手段を提供する可能性があります。 しかしルーゴ氏が指摘するように、企業は自社のデータや従業員のデータを真に保護するために必要なコントロールを与えられていません。 ユーザー。
IBMに関して言えば、ルーゴ氏はキングストンが最近の方針変更で状況を好転させることができることを期待しており、すでにそうしようとしている段階にある。
GDPRとは何ですか? なぜ私が気にする必要があるのでしょうか?
「IBMは素晴らしい会社です」と彼は言いました。「[しかし]現在、当社の営業チームの一部がIBMと連絡を取っているので、どうなるか見ていきます。」
IBM の禁止に代わる手段についての意識を従業員の間で高めることも重要です。 MalwareBytes の Bustamante が私たちに強調したように、ネットワークを保護する最善の方法は、次のような戦略を組み合わせることです。 人、ハードウェア、ソフトウェアを結集して、重要なデータとそれが保存されているネットワークを包括的にロックダウンします の上。
「企業は、侵害に対処するための適切な内部プロセスを確保し、スタッフに定期的なセキュリティを確保する必要があります。 トレーニング - 結局のところ、従業員は防御の最前線であるため、危険な電子メールや添付ファイルを見分けることができる知識を従業員に与えてください。」 言った。 「最良のセキュリティ ポリシーは、人材、プロセス、テクノロジーを組み合わせたものです。 他の 2 つがなければ 1 つは存在しません。」
