マクニカ
ゼロトラスト 2023.03.31

業務委託会社による情報漏洩を防ぐには?~エンタープライズブラウザ活用による新たなアプローチをご紹介~

本記事のサマリ

みなさんはサプライチェーンや業務委託会社におけるセキュリティを意識されていますか?
経済産業省の「サイバーセキュリティ経営ガイドライン」にて「サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内 外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイ バーセキュリティ対策への目配りが必要」※と記載されています。いまや自社のセキュリティ対策の強化だけでなく、サプライチェーンも含めてセキュリティ対策の強化が求められており、本ブログではエンタープライズブラウザを活用したサプライチェーンのセキュリティ強化をご紹介します。

3行でわかる本記事のサマリ

  • ファイル共有サービスの利用状況を可視化し、公式に認めていないサービスの利用を防止する必要がある。
  • 委託業者管理には複数企業との取引やプライベートと仕事の使い分けの難しさがあり、ガバナンスやセキュリティの両立が課題となる。
  • 従来の対策手法としてVPNやVDIがあるが、新しいアプローチとしてエンタープライズブラウザを活用することが有効。

目次

1.こんなシチュエーションはありませんか?
2.委託業者管理における課題
  2-1. 複数企業との取引
  2-2. 仕事とプライベートの使い分けの難しさ
  2-3. ガバナンスの問題
  2-4. セキュリティと利便性の両立
  2-5. ラストワンマイルの可視性と制御の欠如
3.従来の対策手法
  3-1. VPN の場合
  3-2. VDI の場合
4.新しい対策手法 "エンタープライズブラウザ" とは?
  4-1. 従来のブラウザとの違い
  4-2. エンタープライズブラウザを利用して委託業者を管理する
  4-3. 委託業者=他社に干渉しすぎず、自社のセキュリティ要件をしっかり適用させる

1.こんなシチュエーションはありませんか?

エンタープライズブラウザ1.png

委託業者に何らかのドキュメントを共有する際、ファイル共有サービスを利用しているケースはありませんか?企業によっては有償で契約して特定のサービスを利用していることもあれば、部署や個人により無償のサービスを利用してしまっている・・・なんてこともあるかもしれません。
上記の場合、そもそもファイル共有サービスの利用状況を可視化し、自社で利用を公式に認めていないサービスは利用させないなどの対策が必要ですが、公式/非公式にかかわらず、下記のような課題を抱えている企業様は多いのではないでしょうか?

エンタープライズブラウザ2.png

そういった環境を整備するためには、委託業者からのアクセスをセキュアにするための施策や、彼らの端末上でのデータの動きを監視する仕組みなどが必要になります。

2.委託業者管理における課題

上記で述べた施策を行いたい場合でも、委託業者はあくまで他社であり、自社でコントロールするには様々な課題があります。

2-1. 複数企業との取引

委託業者は複数の会社と取引していることが多く、複数の VPN を使用していたり、データを混在させていたりする可能性があります。また、1 台の PC に、さまざまな要件に対応した複数の企業のツールを導入している場合もありますし、逆に複数の Agent を導入することを嫌がる可能性もあります。そんな環境の端末で自社との業務をさせるにあたり、可能な限り委託業者のアクセスや操作を可視化/コントロールできるようにすることも重要になります。

2-2. 仕事とプライベートの使い分けの難しさ

1 台の PC をプライベートと仕事で共有しているケースも考えられます。BYOD ほどではなくとも、業務端末でプライベートに近いインターネットの利用をしている場合や、そもそも自社との業務以外のアクセスや操作はプライバシーを尊重する必要があります。
しかし、委託業者が自社とやり取りしている Web アプリケーションからダウンロードした機密データをなんでも彼らの PC に保存できてしまったり、自由に編集や操作できてしまうとセキュリティリスクとなり得るため、委託業者も受け入れられるようなアプローチで必要な範囲で可視化/コントロールできるツールが必要です。

2-3. ガバナンスの問題

ポリシー管理はユーザ ID によって行われ、デバイスの種類は考慮されていないことが多くあります。正規のユーザがアクセスしていても、利用しているデバイスが脆弱であればセキュリティリスクになるため、デバイスの状態監視(デバイスポスチャ監視)が重要になります。
また、組織はロールベースのアクセス制御を適用し、さまざまなアプリへのアクセスを制限することができますが、入れ替わりの激しい委託業者に対しては適切なポリシーコントロールができていない可能性があります。アプリケーションにアクセス許可をした後の行動(データの操作履歴など)に対し、ポリシーの適用をより細かく設定、制御することで、利便性を損なわせず柔軟に業務をさせつつも、セキュリティを高める。ということが重要になります。

2-4. セキュリティと利便性の両立

重要な部分のデータ編集には、アプリケーションコードの変更や複雑なトークン化が必要な場合があります。
外部アクセスのセキュリティを考えるあまり過度なセキュリティ機能を有効にすることで利便性が損なわれたり、逆に利便性を優先するために本来必要なセキュリティ機能を無効にしたりはしていませんか?

2-5. ラストワンマイルの可視性と制御の欠如

ここでいうラストワンマイルとは、Web アプリケーションからデータが流出してしまう最初であり最後の地点である"ブラウザ"を指しています。たとえば、委託業者が自社と共有している Web アプリケーションにアクセスし、機密情報をコピー&ペーストしたり、スクリーンショットを撮ったりするのを防ぐ方法がありません。これは、委託業者管理のうちデータ保護の観点において、重要な対策のひとつです。

3.従来の対策手法

3-1. VPN の場合

従来の対策手法の 1 つ目は、環境にアクセスするための仮想プライベートネットワーク(VPN)クライアントを委託業者に提供することです。この方法では、業者のトラフィックや触れるものを自社で管理することができます。
しかし、頻繁に VPN に接続して Web サイトや Web アプリケーションにアクセスすることになるので、アクセスする際に多段になることによる通信遅延により業務影響が出たり、アクセス増加に伴う回線のひっ迫により増強コストがかかったりする可能性があります。
さらに、VPN 自体がネットワークリソースにアクセスできる攻撃対象領域を増やすことにもなるのです。

3-2. VDI の場合

従来の対策手法の 2 つ目は、仮想デスクトップ・インフラ(VDI)を委託業者に提供することです。このシナリオでは、委託業者は自分専用の仮想 PC を与えられ、OS にログインするとすぐに Web ブラウザが起動し使用していきます。
しかし、一般的に VDI は起動して立ち上がるまでが遅かったり、アクセス遅延、画面解像度も低くなったりするため、ユーザが業務ストレスを感じるケースが多くあります。
さらに、VDI は非常に高価であることも IT 管理者にとっては課題とされています。

Island VPNVDI.PNG

4.新しい対策手法 "エンタープライズブラウザ" とは?

従来 VPN や VDI で行っていた委託業者のセキュアアクセスやデータコントロールを"ブラウザ上で"行うという新しいアプローチをご紹介します。

エンタープライズブラウザ4.png

4-1. 従来のブラウザとの違い

みなさんが業務中利用しているブラウザは何ですか?
Google Chrome や Microsoft Edge など・・多くの人が、プライベートで利用しているブラウザと同じものを使っているのではないかと思います。これらのブラウザは、消費者向けブラウザのため企業がビジネスで利用するために必要なセキュリティ機能はあまり意識されていません。
しかしながら、ファイル共有サービスへアクセスする際にはブラウザを介して利用し、閲覧や編集もブラウザ上でするとしたら、ブラウザ自体がアクセス時のデバイス状態をチェックし、データの操作を監視、扱い方をコントロールできるような"企業向け=エンタープライズブラウザ"を利用するのは最適なアプローチの一つになります。

4-2. エンタープライズブラウザを利用して委託業者を管理する

エンタープライズブラウザを利用すれば下記のような事を実現することができます。

  • ファイル共有サービスにアクセスしてくる委託業者のデバイスが健康かどうかのチェック(デバイスポスチャ)
      -EDR が稼働しているか?資産管理ツールのプロセスが起動しているか?OS は推奨バージョンか?等
  • 委託業者にデータをローカルへ DL させずに閲覧・編集をさせる(ブラウザ内ストレージ)
      -ローカルへの DL が情報漏えいのリスクを増大させます。できるだけブラウザから出さない仕組みが大切です
  • 授受データから外部へのコピペやスクショを制御、キーストロークやマウス遷移等アクションの監視(ラストマイルコントロール)
      -通信上では見えない、レンダリング情報自体の監視や制御が可能です

4-3. 委託業者=他社に干渉しすぎず、自社のセキュリティ要件をしっかり適用させる

委託業者は大事なビジネスパートナではあるものの、他社であることには違いありません。セキュリティを担保する義務はあるが、過剰に干渉することはできない、、、というジレンマを抱えている企業様は多いはずです。
そんな課題もエンタープライズブラウザであれば解決できます。

  • 必要なのはブラウザのインストールだけ。エージェント不要
  • 使い方は従来のブラウザと変わらない!ツール変更に伴う委託業者の作業ストレスなし
  • ブラウザの使い分けでプライバシーを保護。自社との取引時のみエンタープライズブラウザを利用して業務をしてもらえば、それ以外のブラウザ業務には干渉不要

おわりに

グローバルビジネスが加速し、サプライチェーンの拡大により、委託業者はかつてないほど重要な存在になっています。しかし、これらの外部連携時に安全なデータ授受やデータ保護を行うためには、従来の方法では限界があるため、今の環境に適した新しいアプローチが必要です。
委託業者のアクセスやデータ授受に関する課題にエンタープライズブラウザを導入することで、複雑さを軽減し、コストを削減し、速やかに配備し、関係者全員のプライバシーを保護しながらも、重要なデータを保護することができます。

▼事例のダウンロードページへ
Island ヘルスケア.PNG

▼くわしくは製品ページへ
詳細はこちら.png

▼デモのご希望はこちら(デモや詳細説明希望など、ご記入ください)
デモのご希望はこちら.png

▼無料オンデマンド動画はこちら
Islandオンデマンド動画.png

※出典:経済産業省ウェブサイト(https://www.meti.go.jp/press/2022/03/20230324002/20230324002-1.pdf

メルマガ登録バナー(セキュリティ).jpg

RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ