本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
ポッドスラーピングってなんだ?!

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化を早めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。
 今回のテーマはポッドスラーピング(Podslurping)。充電やデータ転送のために携帯音楽プレーヤーを社内のPCに接続している光景は今や珍しいものではない。しかし、実はそうしていつの間にか企業の機密情報を根こそぎ吸い上げられてしまっているというような事態が、近く起こるかもしれない。

ポッドスラーピングとは

ポッドスラーピングとは、iPodのような大容量データが保存可能な携帯音楽プレーヤーを社内のクライアントPCに接続し、特殊なソフトウェアを使って、機密情報を含むドキュメントファイルを盗み出す行為のこと。「スラーピング(slurping)」とは、英語で「一気飲み」を意味する。100MB程度のデータならわずか1〜2分という速さで一気に吸い出すことができるため、この名が付けられた。

図1 ポッドスラーピングの仕組みと考えられる手法

現在のところ、ポッドスラーピングによる情報漏洩の被害はまだそれほど報告されてはいない。しかし、2006年の初め頃から、米国のセキュリティ専門家が、iPodでドキュメントファイルを盗み出すことが可能であることを自作のソフトウェアを使って立証し、その危険性を指摘している。

ポッドスラーピングの危険性

本来、iPodとPCの間でデータ転送を行うには、専用の音楽ファイル転送ソフトiTunesを使う必要があるため、iPodをハードディスクドライブとして使うには、特殊なソフトウェアが必要となる。ポッドスラーピングを可能とするソフトウェアの場合、PC側にスパイウェアのような形でインストールするものと、iPodそのものに仕込む場合とがある。

現在のところ、ポッドスラーピングの対象はクライアントPCのローカルハードディスク内のデータに留まっている。しかし、ソフトウェアが進化すれば、社内のネットワークを徘徊し、暗号化されたものも含めたあらゆるデータを集めることが可能になる。そうした進化型ポッドスラーピングが登場する可能性はきわめて高い。

iPodに代表される携帯音楽プレーヤーだけでなく、USBメモリなどの携帯型ストレージも、情報の持ち出しに悪用される危険性があるのは言うまでもない。にも関わらず、なぜ特に「ポッドスラーピング」と名づけられ、iPodが情報漏洩の原因になりうるとしてクローズアップされているのか。それは、最近では動画にも対応できるようになったこれらのプレーヤーが、最大60GBという大容量のハードディスクを搭載しているために、大量のデータの格納が可能だからだ。

さらに、携帯音楽プレーヤーは、楽曲ファイルの追加や削除、充電を、USBポート経由でPCに接続して行うものが多いため、PCに接続されていてもごく自然に見える。音楽を聴くためのデバイスとして広く認知されている携帯音楽プレーヤーは、実際には大容量ハードディスクドライブであるにも関わらず、それを使用して機密情報の持ち出しを行っているという不信感を招きにくい。被害の大きな情報漏洩事件のほとんどが、内部の人間による社内からのデータの持ち出しがきっかけとなっていることを考えると、これは深刻な問題だ。

近年、「デジタル家電」と呼ばれるジャンルが登場し、あらゆる電気機器にコンピュータやメモリが搭載されるようになってきている。iPodなどの携帯音楽プレーヤーのみならず、デジタルカメラや携帯電話など、PCに接続する可能性のあるデバイスでメモリを搭載したものはいずれも、情報セキュリティにとって脅威となりうるという認識を持つ必要がある。

ポッドスラーピングによる被害を防ぐには

さて、これまでポッドスラーピングの危険性を見てきたが、企業の重要な情報をポッドスラーピングから守るための対策としては、情報流出の元となるクライアントPCのセキュリティ対策を徹底する方法と、流出しては困る重要なデータそのものを厳密に管理し、持ち出しを未然に防ぐ方法の、大きく分けて2種類がある。企業は、社内における機密データの種類や量、システム運用状況に応じて適切なセキュリティポリシーを策定し、それに適った対策を講じていく必要がある。

図2 情報漏洩を防ぐには
1. クライアントPCのセキュリティ対策
(1) USBポートの使用制限
USBポートを全面的に使用禁止にすると、業務上にも支障が出るかもしれない。特定のUSBデバイスのみ接続を許可したり、データを持ち出そうとするとアラートを上げたりするなど、USBポートの使用を詳細に設定できるアプリケーションを活用するとよいだろう。

(2) 不要なソフトウェアのインストール禁止
資産管理ツールなどを用いて、業務に不要なソフトウェアをクライアントPCにインストールできないようにしておけば、特殊なソフトウェアを必要とするポッドスラーピングは実行できない。

(3) クライアントPC監視体制の強化
クライアントPCの利用状況を常に監視し、USBポートへのデバイスの接続やデータのコピー、ソフトウェアのインストール状況などを把握することで、ポッドスラーピングに限らず、情報漏洩の防止に役立つ。
2. 重要データの適切な管理
(1) ファイルサーバ導入によるファイルの一元管理
個人情報や機密情報を含む重要なデータはローカル環境に保管せず、ファイルサーバで一元管理するのが望ましい。重要ファイルにアクセスできるユーザーを制限したり、アクセスログを残したりすることで、アクセス状況を常に把握できるようにしておく。

(2) ファイル管理用の業務アプリケーションの導入
ファイルの保管先が分散していて一元管理できない場合でも、文書管理ツールなど、ファイル管理ができる業務用アプリケーションを導入すれば、ユーザーごとのアクセス権限の管理や、リムーバブルメディアやネットワークドライブへのデータの無断コピー禁止などが可能となる。

今日では、情報漏洩が企業の信用の失墜につながるだけでなく、大きな損害をもたらしかねない深刻な課題であることは言うまでもない。企業としての社会的信頼性を保つためには、社員のセキュリティ教育やリテラシー向上のための施策、内部統制の徹底によるファイル管理やセキュリティ対策を、当然のこととして行っていく必要がある。企業全体のポリシーとして、日々増え続けるデータをどのように管理していくのかを考えていかなければならない。

取材協力 :株式会社セキュアブレイン

掲載日:2009年3月25日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2006年9月6日掲載分

検索

このページの先頭へ