私はノートパソコンとiPadでデータ通信カードを共有するために無線LANを使っています。最近になってこのような使い方をする方をよく見かけるようになりました。この原稿を大きなオフィスビルで書いていますが、同じような使い方をしていると思われる無線LANのアクセスポイントがいくつか見つかりました。
無線LANの危険性については今さら言うまでもありませんが、セキュリティポリシーにはどのように書かれているでしょうか?
よくあるのは、「無線LANのシステムを構築する時には許可を得ること」という書き方です。それだと私のような使い方でも違反になりますが、そのようなポリシーがある組織で無線LANでインターネットにつないでiPadを使っても誰も気にもとめません。
確かにインターネットにつないでいるだけだからいいじゃないか、というのは正しいかもしれませんが、問題はグレーゾーンがあるということです。グレーゾーンは必ず広がっていくものです。つまり、一つの小さなグレーゾーンが徐々に広がっていき、いつの間にか全体のセキュリティポリシーが崩れてしまうのです。
例えば、無線LANアクセスポイントの設置が違反にも関わらず黙認されていけば、そのうちアクセスポイントが日常的に立ち上がることになります。そうなれば、その中に悪意のアクセスポイントがあって、社内LANにつながれても気付かれることもなくなります。
あるいは、会社のパソコンをアクセスポイントにしてiPhoneでファイルを取り出す、などということを悪意もなく日常的に行うようになるかもしれません。そうなれば社内のモラルというものは簡単に崩れます。
こうした悪意のない情報セキュリティ違反が情報漏洩を引き起こすことは、これまでに何度も繰り返されています。
グレーゾーンが見つかれば、そこから勝手な判断が生じ、規則遵守のモラルが崩れていくわけですから、すぐにグレーゾーンを解消する様な迅速な対応が求められるのです。その対応が遅いこともセキュリティモラルを低下させる原因となります。
携帯端末用の無線LANアクセスポイントを例に取れば、設置禁止を徹底するようにするか、インターネット接続に限り許可することになります。ただし、インターネットへの接続だけであれば問題がないように思えるかもしれませんが、以下の点が問題となります。
- 無線LANのアクセポイントがいくつも社内に立てられることになる。これにより、悪意の無許可アクセスポイントが紛れてしまう可能性があるし、無許可アクセスポイントが社内ネットワークに接続されてしまえば非常に危険な状態になる。このようなアクセスポイントは無線LANの監視によって発見することができるが、許可されたアクセスポイントが立てられることにより発見が困難になることにつながる。
- 社内のパソコンに無線LANアクセスポイント機能がある場合に、その無線LANアクセスポイントから情報が漏洩してしまう可能性がある。また、その無線LANを使っているときにファイウォールがない状態になりウイルスに感染したり、不正アクセスを受けたりする可能性がある。
インターネット利用だからいいだろうという判断で許可した無線LANが、意図しない脅威を増大させることになるのです。従って、個人利用や来訪者の利用する情報携帯端末のための無線LANであっても許可しない方がいい、ということになります。
とはいえ、私のように無線LAN機能を備えるiPadなどの端末を利用しているビジネスパーソンは多いので、従来の「ノートパソコンの持ち込み禁止」というポリシーと同じように、形骸化してしまうかもしれません。iPadやiPhoneなどの端末を視野に入れた情報セキュリティポリシーの見直しが急務でしょう。
