モバイルデバイスのセキュリティについて企業経営者が知るべきことモバイルデバイスのリスクよりも、メリットを享受する実践的な指針モバイル環境セキュリティリスク iPad や Android 携帯端末のような新世代のモバイルデバイスは、モバイルワーカーが様々な業務をこなす上で役立ち、ビジネスの生産性と革新性を向上させます。しかしこれは、管理コストの増加をもたらしたり、デバイスが正しく管理されなかった場合は、データ流出や企業イメージの低下につながる重要なリスクをもたらします。マルウェアや高度に複雑化したサイバー攻撃が、モバイスデバイスの OS における最大の問題であるとの認識が存在しています。確かに、マルウェアのような脅威は増加していきます (ユーザーの多くは、ノート PC の代わりにモバイルデバイスを使用するようになっています)。しかし、実際のところ、今日の最大の脅威はデータ漏えいです。法規制も、これらのデバイスに焦点を当てるようになってきています。かつて、コンプライアンスの基準と言えば、従来型の「PC」に焦点を当てていましたが、現在では、機密データを保存できるデバイスのすべてが、コンプライアンスの対象となりつつあります。したがって、モバイルデバイスに関連するセキュリティや操作上の問題に対処することが、コンプライアンス違反を避ける上で、今日、必要不可欠となっています。ノート PC やモバイルデバイスに保存した機密データの流出は、法的観点からはどれもほとんど同じことですが、セキュリティ管理の上では異なります。モバイルデバイス上で発生するデータ漏えいのほとんどは、セキュリティの低いパスワード (パスワードなしを含む)、データの暗号化の失敗、フィッシングやその他のソーシャルエンジニアリングによる被害、デバイスのアップデートの欠如 (簡単な攻撃にも脆弱になります) などで、基本的なセキュリティ対策が不十分であると、一般に考えられます。基本的なセキュリティ対策を管理し、紛失したデバイスを使用不能にすることが、データ流出のリスクを最小限にとどめ、法規制を満たす上でも、最も重要なことと言えます。モバイルデバイスのセキュリティコンシューマライゼーションの影響実施すべき 3 項目コンシューマライゼーションの波により、個人所有のデバイスを業務目的に使用することが多くなり、IT 部門では、従来の管理コストの 5 倍以上のコストがかかり、また、5倍以上の数のプラットフォームを管理する結果となっています。ほとんどの IT 予算は、こうしたコストの増加に対応できませんが、スマートフォンなどの新しいモバイルデバイスを利用させないのも、望ましくありません。導入するセキュリティ対策製品や管理製品が、幅広い OS に対応することを確認してください。IT コストや PC、デバイスのリプレースに伴う将来の投資を抑制できます。モバイルデバイスは活用されるべきものです。したがって、データ、システム、ユーザーが安全であることを確認する必要があります。すべての企業にとって実施すべき 3 項目をご紹介します。短期的なスパンで考える IT 部門では、収益を高くしてコストを最小限にするために、通常 3年間を目途として投資を考えます。残念ながらモバイルデバイスの場合、3年間の戦略は、あまり適切なものとは言えません。モバイルセキュリティの市場は、もっと急速に変化しています。モバイルデバイスは、PC に比べ、四半期ごとに新しい機種が出荷されます。IT 部門は、モバイルデバイスに対して、3年間の計画を一度に実行するよりは、もっと短期の戦略を繰り返し実行すべきです。 1. モバイルデバイスの適正使用に関するポリシーを施行する: 業務として使用する場合、どんなデバイスが許可され、どんなルールが要求されるのか、すべての従業員に明確に示されていることを確認してください。従業員は、個人所有のデバイスを業務に使用しがちです。したがって、企業や個人の情報を保護するために、デバイスの使用に関しては、十分に注意するよう確認してください。 2. 効果的なデバイスセキュリティを実行する: 強固なパスワード、暗号化、パッチの適用、そしてデバイス紛失時のリモートロック、リモートワイプ (削除) などが利用可能かどうか確認してください。一般に考えられているよりも、多くのツールが利用できます。ベストプラクティスを実行するために、管理ツールをご確認ください。ソフォスやデバイスベンダーが提供する環境設定ガイドを確認してください。これらのデバイスのほとんどは、一般に考えられているよりも、多くのセキュリティ機能が搭載されていることが確認できます。 3. 法規制に対するコンプライアンスに準拠する: モバイルデバイスからのデータ流出の際に、法規制者に提出可能なコンプライアンスレポートが作成できることを確認してください。セキュリティポリシーの骨子と関連するプロセスが、モバイルデバイスに構築されており、基本的な制御を明示できることを確認してください。最も重要なのは、システムをシンプルに保つことです。モバイル市場では、分野の技術が確立されておらず、誇張も多く存在しています。モバイルデバイスは急速に進歩していきます。その使用をブロックするよりは、それを容認し、注意深い市場の監視を続けていくことが大切です。ソフォス株式会社営業部 TEL: 045-227-1800 Email: [email protected] 米国、ボストン | 英国、オックスフォード © Copyright 2011.Sophos Ltd. All rights reserved. すべての商標は、各所有者に帰属しています。 James Lyne Director of Technology Strategy Sophos @jameslyne