PCなどのホスト機器へさまざまなデバイスを手軽に接続できるUSBポート。その利便性の高さから、今や必要不可欠の存在となっているが、セキュリティという観点から見ると、情報漏えいを招く蟻の一穴になりかねない。こうしたリスクに対応するため、最近では資産管理ソフトなどでデバイスの接続を制御できるようになったが、それとて完全ではなく“抜け道”が存在するのはご存じだろうか。
本ホワイトペーパーでは、従来のデバイス制御の“抜け道”となる手法と、これに対応できるラネクシーのDLPソリューション「DeviceLock(デバイスロック)」について紹介する。
情報漏えい対策の一環として普及が進むデバイス制御
USBはPCなどのホスト機器に周辺機器を接続するためのバス規格であり、優れた利便性から多彩な分野で使用されている。たとえばPCでは、ハードディスクやブルーレイ・DVDドライブ、USBメモリといった外部記憶装置、デジタルカメラやデジタルビデオといった光学機器、LANやBluetoothなどの通信インターフェース、Webカメラやスピーカーなどの映像・音響機器、そして携帯電話やスマートフォンなど、さまざまなデバイスを接続し、データのやり取りや給電などを行うことができる。
いま主流となっている「USB 3.0」規格では最大5Gbpsの高速なデータ転送が可能になっており、大量のデータも短時間で移動させることができる。ユーザからすれば非常に便利だが、裏を返せばPC内のデータを迅速・容易にコピーして持ち出すことが可能ともいえるため、情報漏えいのリスクも高くなる。そのため一時期は、対策としてPCのUSBポートを物理的に塞いでしまう企業も少なくなかった。
その後、デバイス制御の機能を搭載した資産管理ソフトなどの製品が登場する。その多くは、USBポートに接続するデバイスの使用に制限をかけるもので、あらかじめ許可されたデバイス以外は使えなくなる。たとえばUSBメモリなら、製品名やシリアル番号などを登録することで、そのPCに対し接続できるものを限定。これらを厳重に管理することで、情報漏えいのリスクを大きく減らすという仕組みだ。もちろんUSBメモリ以外のデバイスの制御も可能で、今では定番の情報漏えい対策として広く普及している。
デバイス制御の“抜け道”とは
しかしながら、こうしたデバイス制御の盲点を突いた大規模な情報漏えい事件も起きている。2013年には、某企業において、デバイス制御を実施していたにも関わらず、数千万という個人情報が盗まれてしまった。新聞をはじめ各種メディアで大きく取り上げられたため、記憶に残っている方も多いだろう。
この事件では、グループ企業から派遣されたスタッフが、データベースからスマートフォン経由で個人情報を持ち出している。AndroidのスマートフォンをPCに接続した場合、Androidの接続モード設定により異なるタイプのデバイスとして認識され、それぞれMTPやPTP、MSCといった独自のプロトコルで接続されるのだが、当時のデバイス制御はこれら全てには対応していなかったのだ。このスタッフは給電のためスマートフォンをPCへ繋いだところ、たまたまデータが移せることを知り、持ち出しに及んだとのことだ。
その後、各製品がこれらのプロトコルにも対応したことで、この手法によるデータの持ち出しはできなくなった。しかしこれで一安心とはいかない。なぜなら、さらなる“抜け道”の存在が確認されているためで、それが「itunes」アプリケーションからの書き出しや、スマートフォンの「デバッグモード」だ。
「iPhone」からPCへの書込みを止められるセキュリティソフトは多く存在するが、「iTunes」等のアプリケーションからスマートフォンに対して情報を書き出せてしまう、抜け道のあるセキュリティソフトは実は非常に多く存在する。また、デバッグモードとは、スマートフォンの内部にあるプログラムにPCからアクセスし編集するためのモードで、通常は設定画面で変更しないと切り替わらない。しかし、スマートフォンのデータをPCで整理したり、バックアップしたりするようなソフト、たとえば、「Moborobo」や「Snapseed」、「Tapnow」などはデバッグモードで通信を行う。こうしたソフトを使用すれば、MTPやPTP、MSCのプロトコルに対応したデバイス制御下であっても、PCのデータをスマートフォンにコピーできてしまうのである。
「デバイス制御」と「USBポート制御」の違い
PCのUSBポートへ接続するデバイスに制限をかける場合、前述のデバイス制御を行うのが一般的だ。しかしこれはUSBポートを制御するものではないため、該当デバイスの使用を制限することはできるが、USBポート自体は開いたままとなる。スマートフォンのデバッグモードで接続できてしまうのはこのためだ。たとえ製品の機能欄に「USBポートの制御:○」とあっても、実際はUSBポートに接続されたデバイスを制御しているのにすぎないことも多いので、注意が必要だ。
USB機器の種類は多岐にわたっており、今後もますます増えていくことだろう。それゆえ、情報漏えいのリスクを減らすためにはUSBポートそのものを制御することが望ましい。USBポートを制御し、デバイスの接続を一括で禁止。使用を許可するものだけ接続できるようにすれば、設定漏れのリスクもなくなり、将来、新しいUSB機器やモードが登場したとしても対応可能だ。
さらに、情報漏えいのおそれのないデバイス、たとえばマウスやキーボードなどの使用は許可することで、ユーザの使い勝手も維持できる。
USBポートそのものを制御する「DeviceLock」
ここまで述べてきたように、USBポートの情報漏えい対策については、デバッグモードへの対策およびUSBポートの制御が重要なポイントとなる。そして、従来の製品では対応が困難なこれらの点をカバーできるのが、ラネクシーの提供する「DeviceLock」だ。
DeviceLockは、企業の機密情報を守ることに特化したDLP(Data Loss Prevention)ソリューション。基本機能としてUSBポートの制御に対応しており、一括してデバイスの使用を禁止することが可能なほか、デバイス単位で使用の許可を行うこともできる。具体的には、ユーザごとのデバイスの使用許可/禁止に加え、USBメモリへのアクセス権や光学ドライブへの読取/書込の許可などをきめ細かく設定できる。Active Directoryの情報と連携してグループポリシーを利用した管理運用も可能だ。もちろんUSBポート以外の接続、Wi-Fiやテザリング、Bluetooth、赤外線ポートなどにも対応している。さらに、DeviceLockは管理サーバなしで集中管理できるため、別途専用の管理用ハードウェアを用意する必要がない。よって低コストで容易に導入でき、運用の負荷も小さいというメリットもある。
前述の通り、既存のデバイス制御には“抜け道”があり、せっかく資産管理ソフトなどを導入してもリスクが存在したままというケースが少なくない。そんなときは、DeviceLockを導入し両者を組み合わせて使えば、より高度な情報漏えい対策が実現するだろう。
ホワイトペーパーをご提供しています<無料>
本ホワイトペーパー「見落とすな! 情報漏えい対策の落とし穴 ~USBポートに存在する“抜け道”とは~」は資料請求にて無料でダウンロードできます。
