モバイルデバイスの セキュリティについて 企業経営者が知る

モバイルデバイスの
セキュリティについて
企業経営者が知るべきこと
モバイルデバイスのリスクよりも、メリットを享受する実践的な指針
モバイル環境
セキュリティリスク
iPad や Android 携帯端末のような新世代のモバイルデ
バイスは、モバイルワーカーが様々な業務をこなす上で
役立ち、ビジネスの生産性と革新性を向上させます。し
かしこれは、管理コストの増加をもたらしたり、デバイス
が正しく管理されなかった場合は、データ流出や企業イ
メージの低下につながる重要なリスクをもたらします。
マルウェアや高度に複雑化したサイバー攻撃が、モバ
イスデバイスの OS における最大の問題であるとの認
識が存在しています。確かに、マルウェアのような脅威
は増加していきます (ユーザーの多くは、 ノート PC の
代わりにモバイルデバイスを使用するようになっていま
す)。しかし、実際のところ、今日の最大の脅威はデータ
漏えいです。
法規制も、これらのデバイスに焦点を当てるようになっ
てきています。かつて、コンプライアンスの基準と言え
ば、従来型の「PC」に焦点を当てていましたが、現在で
は、機密データを保存できるデバイスのすべてが、コン
プライアンスの対象となりつつあります。したがって、モ
バイルデバイスに関連するセキュリティや操作上の問
題に対処することが、コンプライアンス違反を避ける上
で、今日、必要不可欠となっています。
ノート PC やモバイルデバイスに保存した機密データの
流出は、法的観点からはどれもほとんど同じことです
が、セキュリティ管理の上では異なります。
モバイルデバイス上で発生するデータ漏えいのほとん
どは、 セキュリティの低いパスワード (パスワードなしを
含む)、データの暗号化の失敗、フィッシングやその他の
ソーシャルエンジニアリングによる被害、デバイスのアッ
プデートの欠如 (簡単な攻撃にも脆弱になります) など
で、基本的なセキュリティ対策が不十分であると、一般
に考えられます。基本的なセキュリティ対策を管理し、
紛失したデバイスを使用不能にすることが、データ流出
のリスクを最小限にとどめ、法規制を満たす上でも、最
も重要なことと言えます。
モバイルデバイスのセキュリティ
コンシューマライゼーションの影響
実施すべき 3 項目
コンシューマライゼーションの波により、個人所有のデ
バイスを業務目的に使用することが多くなり、IT 部門で
は、従来の管理コストの 5 倍以上のコストがかかり、ま
た、5倍以上の数のプラットフォームを管理する結果と
なっています。ほとんどの IT 予算は、こうしたコストの
増加に対応できませんが、スマートフォンなどの新しい
モバイルデバイスを利用させないのも、望ましくありま
せん。導入するセキュリティ対策製品や管理製品が、
幅広い OS に対応することを確認してください。IT コス
トや PC、デバイスのリプレースに伴う将来の投資を抑
制できます。
モバイルデバイスは活用されるべきものです。したがっ
て、データ、システム、ユーザーが安全であることを確
認する必要があります。すべての企業にとって実施す
べき 3 項目をご紹介します。
短期的なスパンで考える
IT 部門では、収益を高くしてコストを最小限にするため
に、通常 3年間を目途として投資を考えます。残念なが
らモバイルデバイスの場合、3年間の戦略は、あまり適
切なものとは言えません。
モバイルセキュリティの市場は、もっと急速に変化して
います。モバイルデバイスは、PC
に比べ、四半期ご
とに新しい機種が出荷されます。IT 部門は、モバイル
デバイスに対して、3年間の計画を一度に実行するよ
りは、もっと短期の戦略を繰り返し実行すべきです。
1. モバイルデバイスの適正使用に関するポリシーを施
行する:
業務として使用する場合、どんなデバイスが許可さ
れ、どんなルールが要求されるのか、すべての従業
員に明確に示されていることを確認してください。従
業員は、個人所有のデバイスを業務に使用しがちで
す。したがって、企業や個人の情報を保護するため
に、デバイスの使用に関しては、十分に注意するよ
う確認してください。
2. 効果的なデバイスセキュリティを実行する:
強固なパスワード、暗号化、パッチの適用、そしてデ
バイス紛失時のリモートロック、リモートワイプ (削除)
などが利用可能かどうか確認してください。
一般に考えられているよりも、多くのツールが利用で
きます。ベストプラクティスを実行するために、管理ツ
ールをご確認ください。ソフォスやデバイスベンダー
が提供する環境設定ガイドを確認してください。これ
らのデバイスのほとんどは、一般に考えられているよ
りも、多くのセキュリティ機能が搭載されていることが
確認できます。
3. 法規制に対するコンプライアンスに準拠する:
モバイルデバイスからのデータ流出の際に、法規制
者に提出可能なコンプライアンスレポートが作成でき
ることを確認してください。 セキュリティポリシーの骨
子と関連するプロセスが、モバイルデバイスに構築さ
れており、基本的な制御を明示できることを確認して
ください。
最も重要なのは、システムをシンプルに保つことです。
モバイル市場では、分野の技術が確立されておらず、
誇張も多く存在しています。モバイルデバイスは急速に
進歩していきます。その使用をブロックするよりは、そ
れを容認し、注意深い市場の監視を続けていくことが
大切です。
ソフォス株式会社営業部
TEL: 045-227-1800
Email: [email protected]
米国、ボストン | 英国、オックスフォード
© Copyright 2011.Sophos Ltd. All rights reserved.
すべての商標は、各所有者に帰属しています。
James Lyne
Director of Technology Strategy
Sophos
@jameslyne