Comments
Description
Transcript
White Paper - Clearswift
ベストプラクティスガイド 10 ステップガイド - Web セキュリティ編 クリアスウィフト ベストプラクティスガイド 10 ステップガイド - Web セキュリティ編 Web 2.0 がもたらす新たなセキュリティ脅威 Web は高度なインタラクティブ性と高機能性を備えた便利なツールです。一方で、 ますますセキュリティリ スクが懸念されるプラットフォームでもあります。SNSやブログ、掲示板、Webメールなどオンラインでのコ ラボレーションが成熟し、多くの人々の生活に欠かせない存在になるにつれ、 こうしたテクノロジーを業務 に取り入れ、顧客、仕入先、パートナーとより効果的にコミュニケーションを図る企業も増えています。 クリアスウィフトの調査「従業員のWebと電子メール利用実態調査報告書」によると、従業員の約半数 が、Webメールをほぼ毎日利用し、オンラインショッピングやTwitterなどブログ関連ツールを職場で利用し ているようです。 また多くの従業員は、Webテクノロジーの利便性を認識し、ビジネスでの利用価値を見出 しています。 企業にとって、 コストの節約、 コミュニケーションの充実化、従業員のモチベーション向上を考慮したWeb テ クノロジーのビジネス利用は大変重要です。その際に注意すべきことは、潜在的なセキュリティリスクを見 逃さないことです。新しいオンラインコミュニケーションが多様化するということは、従業員が機密情報など の重要情報を誤って、あるいは故意に持ち出してしまう可能性が高まることでもあります。 企業は、従業員の生産性とモチベーションを維持しながら、職場でのWeb利用の増加により生じるセキュリ ティ脅威を管理するソリューションを備える必要があります。 本ガイドは、Webセキュリティのベストプラクティスをシンプルな10のステップにまとめたショートガイドで す。 この10ステップはとても標準的なものですが、 どんな組織にも必要不可欠なものです。情報セキュリテ ィの見直しにより、ビジネス面で多大なメリットを生み出すことも可能です。Webの有効活用とセキュリテ ィの保持とのバランスを見出すために、ぜひ本ガイドをお役立てください。 効果的なWebセキュリティポリシーの確立 Webセキュリティはまずポリシーの策定から始まります。 Webセキュリティはまず、企業の環境にあった適切なポリシーを作成するところから始まります。 ポリシー策定の効果とは: • 意識の向上 – 企業で許可されていることと禁止されていることの判別をユーザ自身ができるようになる • コンプライアンスの推進 – 組織の全員が何をして良いか、悪いかを理解したとき、企業にとって確実なweb利 用が実現できる • 公平性 – 全員が明確なルールを認識できる • 訴訟への対応 – 過失責任が問われる法規制に対応できる 効果的なポリシーの策定は決して難しいものではありません。全員がポリシーを理解した上で同意し、実際にポリ シーを実施するというステップが重要です。 またポリシーは、Webの使用方法の変化に応じて継続的に見直す必要 があります。 Clearswift SECURE Web Gateway は、あらゆるWebトラフィックを双方向に渡りフィルタリングし、Webセキュリテ ィポリシーを実施します。ポリシーに違反するトラフィックを自動的にブロックし、 レポートとアラートを生成するこ とができます。 2 ベストプラクティス: 10 ステップガイド - Web セキュリティ編 ポリシーの調整 企業規模や業種、同じ企業であっても部署ごとにポリシーのニーズは様々です。企業のポリシーは、その組織や部 署独自のビジネス手法を反映したものでなければなりません。例えば、音楽関連の会社は、デジタルオーディオファ イルの自由なやり取りを許可する必要があるかもしれませんし、エンジニアリング部門では、オーディオファイルの ダウンロードはブロックし、CAD ファイルのアップロードやダウンロードを許可する必要があるでしょう。 しかしながら、多くの企業に適用可能な基本的なWebポリシーもあります。 • • • • • • ウイルスをブロックする スパイウェアをブロックし、ログを記録する リスクの高い実行型ファイルとActiveXのダウンロードを無効にする 不適切なコンテンツのやり取りを禁止する (人種や性差別など) 不適切なサイトへのアクセスを禁止する(ポルノ、ギャンブル、マルウェアに感染したWebサイトなど) 機密情報の漏洩を防止する これらの基本ポリシーを作成した後に、企業のニーズに合わせたポリシーの調整を行います。例えば、組織全体を 基本ポリシーで保護しながら、特定の部署や個人に対して別のポリシーやアクセス権を与えることができます。 また、昼休みなどの特定の時間帯にはFacebookなどの SNS サイトへのアクセスを許可するなどの例外設定が必 要になることもあります。 さらに、特定のコンテンツやファイルタイプ(セキュリティに対するリスクと見なされる指 定語句を含む表計算や文書などのファイル)はアップロードをブロックするなどの対応も必要です。 大切なのは、ポリシーに基づいて技術をコントロールすることであり、その逆にならないようにすることです。フィ ルタリングによって業務が妨げられているなら、適用方法を見直す必要があります。 Clearswift SECURE Web Gateway は、 どの企業にも適用可能な基本ポリシーのテンプレートを提供すると同時 に、業界で最もきめ細かいポリシーカスタマイズ機能を提供しています。クリアスウィフトは、深部に及ぶポリシー ベースのコンテンツ検査テクノロジーの先駆者であり、 リーダーです。 スパイウェアの防御 スパイウェアは、 とても厄介なWebセキュリティ脅威の一つです。 スパイウェアの侵入を防ぐには、次の3方向からのアプローチが欠かせません: • ゲートウェイでブロック – スパイウェアの特徴を捉え、 自動的にフィルタリングする • デスクトップでブロック – 定期的にスキャンを実施し、埋め込まれたスパイウェアを駆除する • 外部との通信をブロック – 意図せずインストールしてしまったスパイウェアが、 リモートから指示を受け、悪質 な活動をしないよう未然に防止する Clearswift SECURE Web Gateway は、Sunbelt Software Border Control Anti- spyware を使用して、ゲートウェイ でスパイウェアをブロックしています。 スパイウェアのダウンロードや外部通信のブロックは、数々のアワードを受賞 した Clearswift SECURE Gateways で行えます。 3 10 ステップガイド - Web セキュリティ編 業務に無関係なWebサイトのブロック 疑わしいWebサイトは毎日何百万も立ち上げられています。企業独自でこれらのWebサイトの傾向を把握し続ける ことは不可能です。 これには包括的な分析能力のあるURLフィルタが有効です。ギャンブル、ポルノ、 リモートプロキシ、暴力的・差別的 サイト、マルウェアやフィッシングが仕掛けられたサイトなど、ポリシーで指定したサイトをブロックすることができ ます。 さらに企業独自のブラックリストを加えてアクセスを禁止するURLを増やしたり、逆にホワイトリストを使って 許可する例外サイトを追加したりすることもできます。 Clearswift SECURE Web Gateway のURLフィルタは、世界最高レベルの正確なWebサイトのデータベースを集積 しています。データベースは毎日更新され、毎年数百万のサイト情報が分析されています。 さらにMIMEsweeperに よって強化されたクリアスウィフトのリアルタイム分類テクノロジーがデータベースを強化することで、新しいサイト や動的コンテンツを含むページを正確に分析・分類しています。 圧縮ファイルの詳細な分析 ダウンロードファイル:無害のように見えるスプレッドシートでもウイルスが含まれていることがあります。 また、 プ レゼンテーションにはスパイウェアが埋め込まれていたり、Zipファイルには、社内のネットワークに感染するマルウ ェアが組み込まれていたりする可能性があります。 アップロードファイル:例えばWordの文書には、機密財務データを含むスプレッドシートが含まれていることや、一 見何の問題もないように見えるプレゼンテーションが、実は機密情報を含む説明書などである場合もあります。 ま た、従業員がうっかりして社外秘の顧客記録情報をZipファイルに入れてしまうようなケースもあるでしょう。 Webセキュリティには、 このようなあらゆるタイプの圧縮ファイルを奥深くまで分解し、深部に埋め込まれたコンテ ンツを分析する機能が求められます。表面的なコンテンツ分析では、 日々巧妙に進化するマルウェアや潜在リスク を検出しきれません。 Clearswift SECURE Web Gateway は、何百階層に渡り深部まで分析できるフィルタリングエンジンを搭載してい ます。たとえファイルの拡張子が偽装されマルウェアが潜んでいても、確実に検出することができます。 コンテンツ の中身を構成要素にまで分解し、それぞれの要素に対して個別にポリシーを適用することで、潜在的な脅威からセ キュリティを守ります。 6 アップロード情報のコントロール ウイルスのようにネットワーク外部からやってくる脅威に対し対策を講じている企業でも、ネットワークの内部から 外に出て行く情報をコントロールし、内部に存在する脅威にも対策を施している企業はそれほど多くないでしょう。 しかし、実際は企業内部には多くのリスクが潜んでいます。例えば、個人情報や機密情報を漏洩してしまい、事件に 発展するというような例があります。Webメールサービスやソーシャルネットワーキングサイトは、様々な形で社外 秘情報やファイルを流出させる原因となる可能性があります。それ以外にも、 メディアファイルなどの無断共有が著 作権に違反し、企業に責任が課せられる可能性もあります。 コンテンツのアップロードが原因で、企業が告訴されるケースは年々増えています。 コンテンツのフィルタリングと ブロックは、必ずアップロード、 ダウンロードの双方向で行いましょう。 Clearswift SECURE Web Gateway は、 クレジットカード業界(PCI)の用語や数字のパターン、個人情報(PII)、 コンプ ライアンス関係の用語など、ビジネス用語の検出を行うことができます。検出用語のカスタマイズも可能で、 自動更 新管理リストや編集可能なコンプライアンス関連辞書(グラム・リーチ・ブライリー法(GLBA)、医療保険の相互運用 性と説明責任に関する法律(HIPAA)、米国証券取引委員会(SEC)、サーベインス・オクスレー法(SOX)など)様々な法 規制に対応しています。 4 ベストプラクティス: 10 ステップガイド - Web セキュリティ編 7 SNSの有効活用と生産性の向上 近年は、SNS(ソーシャルネットワーキングサービス)の利点に着目し、Twitter や Facebook を顧客やパートナーと の関係構築に活用する企業が増加しています。信頼性の高いカスタマーサービスをリアルタイムで提供するために SNSが利用されています。 また、SNSを従業員同士のコミュニケーションツールとして活用する企業も増えてきてい ます。 職場でこうしたSNSツールの使用を認めた結果、従業員のモチベーションや満足度が向上した例も多くあり、業績面 において相乗効果をもたらす傾向にあります。 企業でSNSを採用する際には、組織のWebセキュリティポリシーに閲覧スケジュールと時間配分を定め、SNSがもた らす生産性向上とのバランスをとってください。 Clearswift SECURE Web Gateway は、SNSをはじめ、Webコミュニケーションツールへの自由なアクセスを可能に し、同時にセキュリティリスクから保護するソリューションです。時間帯と閲覧時間割り当ての管理機能も提供してい ます。 8 Webアクティビティのモニタリングと把握 Webセキュリティの安全性を保つには、包括的なモニタリング、 レポーティング、分析を日々継続的に実施する必要 があります。 まずはWebアクティビティの全体像を把握します。例えば、 リクエストページ数やデータ量を調べます。次に、ユー ザ、サイト、 アクティビティ、帯域幅、閲覧時間などのカテゴリー別の分析を実施します。 さらに、 リアルタイムの防御策として、 アラートを設定するのも一つの方法です。 自動的に送られるアラートシステム により、何か問題が起きても、深刻なセキュリティ侵害になる前に被害を食い止められる可能性があります。 精度の高いモニタリング機能やレポーティング機能があれば、疑わしいアクティビティを早期に発見し、必要に応じ てポリシーを見直し、 リソースの割り当てを改善する必要性も明確になります。 Clearswift SECURE Gateway のソリューションは、豊富なレポーティング機能を搭載し、 グラフィカルなモニタリン グツールとしても高い評価を得ています。インタラクティブなWebベースのモニタリング、 アラートシステムも企業の 内部統制対策に活用されています。 9 シンプルなポリシー運用管理 Webセキュリティ技術がどれだけ高精度でも、 どんなに強固なポリシーを作成しても、実際に運用できなくては意味 がありません。現実的な運用をするには、ポリシーやシステムの簡略化、 自動化、合理化が求められます。 これらが実 現されなければ、IT部門やシステム管理者の負担ばかりが増え、全体のセキュリティ対策が不完全になってしまう可 能性があります。 Webセキュリティシステムの導入、更新、管理、監視のプロセスは、現状を踏まえて十分に考慮して設計する必要が あります。複雑すぎ、 または全体を網羅していないWebセキュリティは、時間とリソースを無駄にするだけでなく、セ キュリティホールを作ってしまいます。 Clearswift SECURE Web Gateway & Email Gateway は、インストールから保守、更新、管理までを簡単に行えるソ リューションです。企業に必要なセキュリティ機能を統合し、企業が選定したソリューションと柔軟に連携する柔軟性 を備えています。OSやソフトウェアなどのアップデートを自動化し、複数台サーバによる運用環境でも、一元的なポ リシー管理とレポーティング機能により、管理負荷の軽減を実現します。 5 10 ステップガイド - Web セキュリティ編 10 事業の革新と成長 企業成長には、堅牢なネットワークセキュリティの要件と、ビジネスで有効活用できるWebテクノロジー利用ニーズ のバランスをとることが不可欠です。企業はマルウェアなどの外部脅威の侵入や情報漏洩などの社内に潜むリスク からネットワークを保護しなければなりません。 しかし、 リスクばかりに集中し、利便性の高い新しいWebテクノロジ ーやサービスを十分に活用できないのでは、そのメリットを得る機会を損失していまいます。 まず、新しいWebテクノロジーやサービスに対する企業ポリシーを反映させてください。 また、 システム管理者だけ でなく、ユーザにも情報が行き渡るよう、部門の責任者たちと話し合いを持つことも重要です。企業として、部署とし てのルールを決定したら、企業におけるメリットを確立し、 リスクを認識し、従業員に情報を通知します。それから、企 業の使用ポリシーを展開していきます。 Clearswift SECURE Web Gateway は、新たなWebアプリケーションの出現やWebの技術的な変化にも柔軟に対応 し、職場での自由で安全なWebコミュニケーションを実現します。Webメール、 ブログ、SNS、 コラボレーションサービ スなど事業活動を強化するオンライン技術を安心してビジネスに取り入れることができます。 クリアスウィフト株式会社 〒163-1030 東京都新宿区西新宿3-7-1 新宿パークタワー N30F TEL : 03-5326-3470 FAX : 03-5326-3001 Email: [email protected] www.clearswift.co.jp 6