1/5 PAGES
2/5 PAGES
3/5 PAGES
4/5 PAGES
攻撃者は、こうして得たCookieやセッショントークンを用いて認証を経ることなく不正なログインを成立させる。認証そのものが破られたのではなく、認証が終わったあとに配られる“通行証”が奪われた格好だ。
防御の焦点を、利用者から端末へ
このような、情報を盗むことに特化したウイルスからシステムを守るには「誰が」アクセスするかだけではなく「どの端末から」アクセスしているかを管理する防御が不可欠である。
まず原則として、業務には社用端末のみを使用することを推奨したい。設定や更新を一元管理でき、防御水準を安定して保つことができるためである。
とはいえ、企業規模や勤務形態によっては私物の業務利用を一定の範囲で認めざるを得ないこともあるだろう。
私物利用を認める場合は、以下のような条件をあらかじめ明確に定めておきたい。
1. 業務領域を分離する
私用領域とは独立した領域に業務アプリを収容し、情報の混在を避ける。
私用領域とは独立した領域に業務アプリを収容し、情報の混在を避ける。
2. 端末の状態確認を義務化する
OS・ブラウザの更新状況、端末ロックの設定、暗号化の有無、危険なアプリの有無を接続前に判定し、基準を満たした場合にのみアクセスを許可する。
OS・ブラウザの更新状況、端末ロックの設定、暗号化の有無、危険なアプリの有無を接続前に判定し、基準を満たした場合にのみアクセスを許可する。
3. アクセス元を制限する
端末の登録を行い、未登録の端末からの接続を拒否できる状態を保つ。
端末の登録を行い、未登録の端末からの接続を拒否できる状態を保つ。
4. 利用範囲を制限する
私物端末からのアクセスはチャットなど最小限の用途に絞り、ファイル操作や権限の高い機能は社用端末に限定する。
私物端末からのアクセスはチャットなど最小限の用途に絞り、ファイル操作や権限の高い機能は社用端末に限定する。
次ページが続きます:
【どの「端末」を許すかが防御の成否を左右する】
5/5 PAGES
