「PCの脆弱性って何?」を解決~グレイネットソフトウェア編~
「脆弱性」を辞書やネットで調べると情報セキュリティ分野用語として「コンピュータネットワークにおけるの安全上の欠陥」と出てきます。
OSやソフトウェア、アプリケーションといったプログラムは、残念ながら100%完全な状態ではありません。プログラムの不具合や設計上のミスなどによる弱点が後から見つかる事があり、その弱点が「脆弱性」ということです。
この「脆弱性」はセキュリティホールとも呼ばれコンピュータウイルスの侵入や不正アクセスによる情報漏えいといったサイバー攻撃に使われる事が多いのです。
さて、今回は「グレイネットソフトウェア」について書きたいと思います。
グレイネットソフトウェアは、インターネット検索しても弊社のページしかでてこないと思います。要は我々クオリティソフトで作った造語という訳です。
この言葉を生んだ背景やどのようにして生まれたかなどの資料が残っておらず、筆者の予想もかなり入ってしまうのですが、「グレイネット=灰色の範疇であるソフトウェア」と説明をしています。
ITの管理者であればよくわかると思うのですが、「ホワイトリスト」「ブラックリスト」の管理は様々なところでやられているのではないでしょうか。
例えば、このソフトウェアは自分の会社にとっては「問題ない」ソフトウェアをホワイトリストにいれて管理したり、このWebサイトは社員がアクセスするとセキュリティ上問題があるので「ブラックリスト」に入れたりと、白黒つけて管理すること「ホワイトリスト」管理・「ブラックリスト」管理などと読んだりします。
この白黒はっきり区別できないけれど使い方によっては情報漏洩といったセキュリティ事故に繋がるような可能性のあるソフトウェアを「グレイネット」と我々は呼んでいます。
グレイネットとして位置づけているわかりやすいソフトウェアやアプリでいうとチャットツールです。
テレワークが許可されるようになり、社員同士のコミュニケーションとしてメールだけではなくチャットが活用されるようになりました。どこにいても、またPCでなくても連絡が取り合えるとても便利なツールではありますが、社外の人へも送信が可能です。
もし社員が所属している企業に不満を持ち、困らせてやろうと顧客情報を競合他社の知り合いに送るということもできてしまいます。
もちろんメールでも可能ですが、メールの場合添付ファイルにチェックがかかったり、そもそも容量の大きいファイルは送信できなかったりと様々な対策を講じることもできますが、
チャットツールの場合だと簡単にできてしまう。なんて事もあるのです。
過去によく使われていたインターネット・メッセンジャーはグレイネットの最たるものです。
そこで我々は長い間の知見で「グレイネット」ソフトウェアをデータベース化(またまたクオリティソフト造語ですがこのデータベースを「辞書」と呼んでいます)しています。
いままで情報漏洩につながったソフトウェアを辞書に登録し、サービスとして提供しているのです。
一昔前になりますが開発者が逮捕されるという事件になったファイル共有ソフトWinnyも「グレイネット」として位置づけています。
どのようなソフトウェアがグレイネットとして登録しているのかの詳細は申し上げられないのですが、基準は【情報漏洩につながる危険があるかないか】となります。ですのでこの辞書と引き合わせしリストアップされたソフトウェアは「情報漏洩の危険がある」という事です。
また、グレイネットソフトウェアというと会社のITの担当者があずかり知らぬところで社員が勝手にソフトウェアをダウンロードして使うイメージがあります。
通常、企業で使うパソコンは情報システム管理部門で管理されています。誰にどのPCを渡したか、そのPCにインストールの許可をしているソフトウェアは何かなどを管理者が把握しています。その管理の目をかいくぐり、便利さを追求するが故に悪気があるかないかではなく危険なソフトウェアを会社から貸与されたPCで利用者が勝手に使うという様な事になるのです。
例えば、EvernoteやDropboxといったアプリケーションを外部とのやりとりなどで使った経験はないでしょうか。会社で許可されているOneDriveやGoogle Driveなどは情報システム部で「外部からのアクセス不可」にしたり「社内とのやりとりのみ」というルールが敷かれたりしているものです。
でもそうなると外部とのやりとりが多い場合、非常に不便に感じます。先ほどのチャットもそうですができるだけ操作作業は少ないステップで、自身のやりたいことをスムーズに行えると効率が良いと思えたりもします。
ただ、よかれと思ったその行動で情報漏洩事故が起きたりするものなのです。
少し話は変わりますがグレイネットソフトウェアの利用の管理をする事と似ているのがCASB(Cloud Access Security Broker)ではないかと思います。
CASBは、昨今急増しているクラウドサービスの利用を可視化・制御することができるサービスの総称です。シャドーITと呼ばれる情報システム部門が把握できていないクラウドサービスの監視も含めて、自社のセキュリティ・ポリシーにあった活用をできる環境が提供できるようにという目的があります。
グレイネットソフトウェアでのソフトウェア起動制御がオンプレミスの世界だとすると、
CASBはSaasを中心にした安全なサービス運用を可能にするクラウドの世界の話ではないかと思います。
どちらも利便性を保ちつつセキュリティ的に安全を確保する事というコンセプトは変わらないのではないでしょうか。
クオリティソフトではPCのウイルス対策ソフトの状態を無料で診断できる「PCドック」で、グレイネットソフトウェアがインストールされていないかを無料で全台チェックすることができます。
この機会にぜひ「PCドック」をお試しください。