Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

BYODの権限を見直す

緊急事態宣言が解除され、多くの方がオフィスに戻りつつあるかと思いますが、海外ではアフターパンデミックにおいてBYOD戦略の見直しが必要だと注意喚起されています。

www.infosecurity-magazine.com

政府のセキュリティ専門家は、パンデミック時の迅速な解決策として実装されたBYOD戦略を確認し、再計画するよう組織に促し、サイバーリスクの高まりを警告しています。

GCHQ-National Cyber​​ Security Center(NCSC)の派生物は 、「潜在的に困難なITセットアップ」であると主張したものの設計、展開、および管理を支援するように設計された組織向けの最新のガイダンスをリリースし ました。

プラットフォームの上級研究者である「LunaR」は、新しいブログ投稿で、「ただ機能させる」という考え方の時代は終わったと警告しました。BYODは、効果的かつ安全であるために、慎重に検討し、厳密に実装する必要があります

「ソリューションがどれほど適切に構成されていても、BYODだけでは組織のすべての機能を安全に実行することはできません」と 彼女は主張しました。「BYODユーザーに会社のリソースへの管理者アクセスを許可した場合は、そのアクセスをすぐに取り消してから、戻ってください。

 

 

キタきつねの所感

コロナ禍において急遽のテレワークを強いられ、BYOD(私物端末利用)で乗り切ってきた会社・従業員の方は結構いらっしゃるかと思います。海外では日本以上にBYODが市民権を得ていて、例えばBitglass社の調査データでは、約7割の組織がBYODを認めています

 2020年7月のBitglassの調査によると、組織の69%が、従業員が個人のデバイスを仕事に使用することを許可しています

(Infosecurity Magazine記事より引用)※機械翻訳

 

緊急時対応としては致し方が無い点もあると思いますが、BYODのリスクが十分にケアされた上でリモートワークに使われていた訳ではなかった様です。

ただし、半数以上(51%)がファイル共有アプリの可視性を欠いており30%がモバイルエンタープライズメッセージングツールを制御できずクラウドベースのマルウェア対策ソリューションを導入しているのはわずか9%であるとも述べています。

注目すべきことに、2020年11月までに、 組織の半数以上(51%)が BYODポリシーをまだ実施していませんでした

(Infosecurity Magazine記事より引用)※機械翻訳

 

少し古い去年のデータではありますが、そう大きく進展があったという事は恐らく無いが故に、英国サイバーセキュリティセンター(NCSC)がBYODに関するガイダンスを今年6月に出しており、コロナ禍の収束(ひと段落)傾向を受けて、BYODリスクが現実のものとなる事が懸念されています。

www.ncsc.gov.uk

 

私物端末を使って従業員が何を共有しているかも分かりづらく、メール等でマルウェア等に引っかかりデータが漏洩するリスクもあり、他のクラウドサービスもマルウェア対応が出来ておらず、そうしたBYODに関するルールも整備されていない

仮にBYODを認めている日本の企業や組織でも同じ様な傾向があるのなら、海外の専門家が言う様に、BYOD端末のアクセス権限(特に管理者権限)を見直す時期に来ていると言えます。

 

NCSCのガイダンスでは、BYODの課題(≒リスク)について以下の様に整理されています。

BYODの課題
組織のBYODセキュリティの課題には、次のものが含まれますが、これらに限定されません。

・個人所有のデバイスとその所有者が会社のポリシーと手順に準拠していることを確認する
・さまざまな種類のデバイスオペレーティングシステムのサポートが強化されました

・企業データの保護
・企業インフラの保護
・エンドユーザー/デバイス所有者の個人のプライバシーを保護する
法令遵守の確保と契約上の義務の履行
BYODのセキュリティ上の課題を軽視すべきではありません。ただし、適切な技術的管理とポリシーを導入することで、BYODに固有のリスクを最小限に抑えることができます。

組織のデータとシステムの制御を使いやすさから保護および維持する必要性のバランスをとること、およびデバイス所有者のプライバシーの期待は難しい場合があります。

同様に、組織はBYODが従業員のワークライフバランスに与える可能性のある潜在的な影響に注意する必要があります。BYODスキームは、従業員にとって適切に機能するように注意深く設計する必要があります。システムによって生活が困難になったり、仕事と生活のバランスが悪くなったりすると、BYODの承認されたアプローチを従業員が拒否してしまう可能性があります。彼らは、セキュリティリスクを高める可能性のある「シャドーIT」を使用して仕事をする他の方法を見つけることさえあります

 

可用性を落としすぎると別な逃げ道(シャドーIT)に逃げてしまう事もあるので、可用性を十分考慮しながら、BYODリスクを抑える事が推奨されています。

と、言うのは簡単なのですが、実際に何をすべきなのか?という点について、もう少し詳細な解説ページがありますのでリンクを貼っておきます。

アクション1-目的、ユーザーのニーズ、およびリスクを決定する
アクション2-ポリシーを作成する
アクション3-追加のコストと影響を理解する
アクション4-展開アプローチ
アクション5-技術的な管理を実施する

 

緊急時対応から平時対応に戻る上で参考になるのではないでしょうか。とは言え、多忙でとても出来ない、面倒である・・・とBYODリスクに目をつぶりたくなるセキュリティ担当者の方も案外多いかも知れません。

 

とてもすべては出来そうにない・・というのであれば、まずは管理者権限(又はセキュリティ強化)から見直す事が現実解かと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

コンピューターウィルスのイラスト

 

更新履歴

  • 2021年10月7日 AM