平均的な企業または個人のPCユーザにとって、USBといえば、各種デバイスを簡単にコンピュータに接続できるポートを指す。このインタフェースを使えば、コンピュータとの情報のやりとりをスムーズに行うことができる。
しかし、セキュリティ管理者や経営幹部にとって、USBは本来の意味である「Universal Serial Bus」とはまったく別の意味を持つようになってきている。彼らにとって、USBは「Ultimate Security Breakdown(究極のセキュリティホール)」を意味する。
ほとんどの組織は、USBやFirewireのポートが、信じられないくらい簡単に機密情報を社外に持ち出すことができる手段となってしまっていることを認識していない。この脳天気さが、後々、非常に高くつくことになり得る。
Dell、Hewlett-Packard(HP)、Gatewayといった大手メーカーが発表する新型のデスクトップマシンを見ると、システムあたり最大8つのUSBポートが搭載されているものも珍しくない。しかし、単にポートの数が問題なのではない。本当の問題は、Windows XPなどのオペレーティングシステムでプラグアンドプレイの設定がデフォルトで有効になっていることだ。最近のオペレーティングシステムはUSBデバイスを挿すだけですぐに使えるようになっている。これはコンピュータへの写真の取り込み、PDAとのデータの同期、携帯音楽プレイヤーとの音楽ファイルの転送といった作業を簡単に行えることをユーザが望んでいるからだ。しかし、この結果生じるセキュリティ上の問題はきわめて深刻である。
金融サービス、政府機関、医療関連サービスといった業界では、機密情報を扱うだけでなく、プライバシー保護法によってそうした情報の扱いが厳重に規定されている。このため、USBによってもたらされるリスクは計り知れない。それは、上場企業の金融部門や法務部門でも同じことである。そうした部門では、material event-disclosure法に違反すると相当な罰則および罰金が課せられるだけでなく、顧客や投資家にも最悪の印象を与えることになる。
ソフトウェアやPCのメーカーが、USBのデフォルト設定を変える保証などないので、各企業は急いでUSBポートを使用不可にする作業を進めてはいるものの、事態は悪くなる一方だ。以下に、これから1年ほどで企業のセキュリティ事情をいっそう悪くすると思われるトレンドをいくつか挙げてみる。
ポップカルチャー
iPodのような携帯音楽プレイヤーやデジタルカメラ、PDAなどの機器が、引き続き消費者やビジネスユーザーの間で急速に広まっていく。社員は何の設定もせずに、ギガバイト級の容量を持つキーホルダーのようなUSBデバイスを職場のPCのUSBポートに挿して使えてしまう。多くの社員が既にデジタルカメラを仕事場に持ち込んで、壁紙やスクリーンセーバーに使う写真を職場のPCにダウンロードしている。各ユーザーはたいてい、こうしたデバイスを自宅のコンピュータにつないでいる。しかし、自宅のコンピュータは企業のコンピュータとはくらべものにならないほどセキュリティが甘い。そのため、誰かが、たとえ故意ではなくても、たちの悪いウイルスや破壊的なコードを会社のコンピュータに持ち込んでしまう可能性がある。
各種デバイスに広がる悪意のあるコード
無線LANやラップトップコンピュータは、悪質なコードの主要な感染媒体となっているが、最近PDAに悪質なコードが広がっていることは、セキュリティ管理者にとって不吉な前兆である。ウイルスに感染したPDAのデータを会社のコンピュータと同期させると、悪質なコードが社のマシンへ、さらには社内ネットワークへと広まる可能性がある。そうしたPDAだけをターゲットとするマルウェアが今後登場することも考えられる。
ストレージ機器とマウスの融合
さまざまなコンピュータ機器やテクノロジーが組み合わさることで、セキュリティ担当者に最悪の事態をもたらす可能性がある。マウスやキーボードなど、日常欠かせない機器にストレージ機能が組み合わさると、社内外のデータ窃盗犯にとってスイスアーミーナイフのようなこの上なく便利な道具ができあがる。また、これが悪質なコードの感染経路になってしまうこともあり得る。
ほとんどのセキュリティ対策組織は、悪質なコードや脆弱性修正パッチへの対応に忙殺されているが、そうした対応は、ファイヤウォール、サーバのウイルス対策、ゲートウェイでのコンテンツフィルタリングといった、周辺セキュリティ技術に限られたものである。もちろん、こうした対策も重要であり、管理者はネットワークの中核部分のセキュリティ強化を今後も怠ってはならないが、セキュリティの脅威はそれ以外の部分にも急速に広まっている。たいていの組織では、いつでも何百台何千台というマシンがネットワークに接続されている。この上、1台のマシンに複数のデバイスを自由に接続できるようになる時代がもう目の前にやってきている。これはセキュリティ担当者にとって背筋が寒くなるような現実である。
こうした各種のデバイスがもたらすセキュリティの脅威に対して、すぐに実行できる効果的な対策がいくつかある。1つは「ホワイトリスト(好ましいもののリスト)」アプローチと呼ばれるもので、承認されていないデバイス、アプリケーション、実行可能ファイルを、社内のすべてのコンピュータで使用禁止にするというものだ。こうした対策が実施されるまで、USBデバイスは絶対的に強化された周辺セキュリティの穴になるだろう。機密データを盗もうとする社員や悪質なコードの開発者にとって、このような穴は、政府機関や企業を攻撃するための絶好の狙い目となる。
こうした問題に正面から取り組むことで、USBは、究極のセキュリティホール(ultimate security breach)ではなく、攻撃不能なセキュリティバリヤー(unbreakable security barrier)になるはずだ。
筆者略歴
Dennis Szerszen
業界アナリストを経て、現在は末端セキュリティソフトウェアのベンダーであるSecureWaveの営業開発担当バイスプレジデントを務める。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス