iPodなどの携帯メディア機器が引き起こす脅威について騒ぎすぎだと思う人もいるだろう。確かに、この脅威は今に始まったことではない。それが今更に問題にされているのは、社内からデータを持ち出すのが以前よりもはるかに容易になったからだ。携帯用のZipドライブは昔からあり、これを利用すれば容易に資料をダウンロードすることができた。しかし、今はそれよりもはるかに容量の大きい機器が普及している。だからこそ、セキュリティ関係者は憂慮しているのである。
昨年、UsherはSlurpという名のWindows用プログラムを公開し、データ容量がギガバイト級の携帯メディア機器がもたらす脅威を実証して見せた。Slurpはコンピュータ上にある文書ファイルを探し出し、iPodやフラッシュ・ドライブなどの取り外し可能なストレージ機器にコピーする。
セキュリティの「大御所」からSlurpが悪用される懸念を指摘されたため、UsherはSlurpの開示を中止した。もっとも、Slurpはコピーする文書の数と速度を制限したデモ用のアプリケーションだったのだが。
現在は、Slurpに代わり、ポッドスラーピング監査ツールSlurp Auditを公開している。データをコピーするのではなく、PCから「スラーピング(一気飲み)可能」なデータを表示するツールだ。iPodなどを利用すれば数分で盗むことのできる業務ファイルを探し、HTML形式で報告してくれる。
セキュリティ・ポリシーを再検討する必要性
iPodを責めているのではなく、それが引き起こす可能性のある問題を指摘したいのだとUsherは言う。「技術知識のない人の多くは、職場にあるiPodが引き起こしかねないセキュリティ問題を理解できないでしょう」
「PCにはBluetoothやFireWireが装備され、Wi-Fi機能が組み込まれています。セキュリティ・ポリシーを施行していなければ、そうした機能がすべて、データを盗んだり、頼まれもしないものをコンピュータに仕込んだりする手段に悪用されかねません」
Usherは、ネットワーク・アクセスもデータ・セキュリティに対する脅威だが、ほとんどの企業はすでにファイアウォールや監視システムを備え、ネットワークを流れるデータを制限――少なくとも監視――していると指摘する。しかし、ローカルPCから携帯機器にデータをコピーしても記録が残ることはないだろう。
Usherは、また、従業員がその気になれば何らかの方法で社内のデータを密かに持ち出せるだろうことも認める。たとえば、ステガノグラフィ(電子あぶり出し)技術を利用すれば、当たり障りのないファイルの中に業務データを忍ばせ、さほど疑われずに社用ネットワークから送信することができる。しかし、この方法は単純にファイルを携帯機器にコピーするよりも技術的ハードルが若干高い。
完璧なセキュリティはありえない
完璧なセキュリティを実現することは不可能である。しかし、携帯型ストレージ機器によるデータ盗難のリスクを検討し、そうした機器の社内での利用を禁止または制限するために時間と資金を投じるかどうか、意思決定すべきだ。
金融機関など、多くの一般社員が機密データを扱う可能性のある企業では、ポリシーで携帯メディア機器の使用を完全に禁止するのが賢明だろう。あるいは、サードパーティのソフトウェアを利用して、USBバスとFireWireバスの使用を制限し一般社員が携帯型ストレージ機器を業務用PCに接続できないようにする方法もある。
それでも、攻撃しようと思えばサードパーティ・ソフトウェアを回避する方法は見つかるだろう。たとえば、データのあるPCに近づくことさえできれば、ライブCDから起動することでOSを完全に回避できる。PCのハードドライブを取り外すという単純な方法もあるのだ。
サードパーティ・ツールでデータ・ポートを塞ぐ代わりに、シンクライアント・コンピュータを採用する方法もある。シンクライアントにはいろいろな利点があるが、データ盗難防止もその一つである。一般社員がデータをローカル機器にコピーする手段がまったくなく、iPodなどの携帯型メディア・プレーヤーを職場に持ち込んでも、それが脆弱性を生むことはない。
詰まるところ、ポッドスラーピングは、セキュリティ専門家がセキュリティ・ポリシーを策定する際に考慮する問題の一つにすぎない。脅威には違いないが、多くの脅威の中の一つにすぎないのである。