2012年2月号E < 2012年2月号D > 2012年2月号C
私はソーシャルメディアの熱狂的な信奉者…
2012年2月10日
2012年1月31日に米国で掲載されたブログ記事の抄訳です。
正直に告白します。私はソーシャルメディアの熱狂的なファンです。それはもう、このブログにはあるまじきことだとさえ言われるほどです。でも私はソーシャルメディアが大好きなんです。それは個人的にも職業的にも私を他の人々とずっと結びつけてくれて、最新の情報を与え続けてくれるからです。だから、利用パターンが単なる閲覧から、アプリケーションや投稿、ソーシャル プラグインなどのより積極的な利用へと変化していることがわかったとき、私がどれだけ興奮したかは想像がつくでしょう。僕だけじゃなかったんだ… 僕みたいにもっと熱狂的な人たちがたくさんいたんだ!これらの調査結果を伝える記事が多かったことからすると、ソーシャルメディアのそうした変化に報道機関も注目していることは明らかでした。こうした変化は必ずしもすべてエンドユーザが主導したというわけではなく、個人と企業の両者が利用したことによるものです。企業はソーシャルメディアを使ってビジネスを改良する方法を見つけ出しています。最新版の『アプリケーションの使用およびリスク分析レポート』では、企業におけるいくつかのすぐれた利用例について取り上げています。
しかし、ネットワーク セキュリティの専門家として私がもっとも興味を引かれ、そしていささか驚いたのは、ポート80を経由しないアプリケーションが少なくないという発見でした。調査において、1,195種のアプリケーションのうち35%がポート80を一切使用せず、しかも総帯域幅の51%を消費していることがわかりました。これらはすべてOracleやSAPなどのビジネス アプリケーションです。私にとってサプライズとなったのは、クラウド コンピューティング、ソーシャルメディア、SaaS (software as a service) といった最新のITトレンドによって「ポート80のセキュリティを最重視」という罠に私が陥っていたという単純明快な理由からです。以下で、これらを含めた重要な発見についてご覧ください。
「ポート80を使わないアプリ」の発見は、ポート80のセキュリティを過度に重視することは近視眼的であり、ハイリスクであるという私の見解を裏付けるものです。それは、玄関の鍵を閉めておきながら勝手口や裏口は施錠しないようなものです。ポート80のセキュリティ保護は必要でしょうか?それは絶対です!しかしより重要なのは、ビジネスを強化する手段としてすべてのポートを流れるすべてのアプリケーションを間断なく制御し、保護する必要があるということです。これこそが、私が「セキュアなアプリケーション使用許可」と呼んでいるルール、別の表現をすれば以下のような「使用は許可するが…」ルールです。
- SharePointの使用は許可するが、アプリケーション機能をコントロールすること
- Oracleの使用は許可するが、SQL攻撃から保護すること
- 全員に対してFacebookの使用は許可するが、投稿は特定のグループに制限すること
- Twitterの使用は許可するが、スケジュールに応じてアクセスを制限すること
- ストリーミングメディアの使用は許可するが、QoSを適用すること
- P2Pアプリケーションはすべてブロック
セキュアなアプリケーション使用許可を適用することで、ソーシャルメディアの利用を許可しながらも組織に適した利用とセキュリティの範囲内に収めてバランスを取ることが可能になり、またビジネスに特化したブラウザ ベースのファイル共有アプリケーションの活用を奨励しつつ、メディアに特化した変種はブロックすることができます。さらには、ポート80以外のポートを経由するすべてのリモートアクセス ツールの使用をITおよびサポート スタッフだけに制限したりすることも可能です。
短絡的なアプリケーション防御システム (従来のステートフル インスペクション ファイアウォールとしても知られる) の時代は終わりました。ファイアウォールは安全にアプリケーションの使用を許可し、そしてビジネスを遂行する必要があります。