個人のモバイル端末をどう管理するか──セキュリティ上の考慮点：もはや全面禁止はムリ

スマートフォンやPDAなど、個人所有の各種モバイルデバイスを企業内で管理する際のセキュリティ上のポイントについて説明する。

≫ 2008年05月19日 07時30分公開

[Mike Chapple，TechTarget]

　iPhoneやiPod touch、BlackBerry、Treoなどネットワーク対応の小型デバイスは、今やわたしたちの生活に欠かせないものになっている。ほとんどの人が少なくとも1台は電子ガジェットをポケットに入れて持ち歩いており、こうしたデバイスの多くでは、無線ネットワークに素早く簡単にアクセスできる。

　個人所有のモバイルデバイスに対する企業の扱いはさまざまだ。一部の企業は利便性を重視して、こうしたデバイスを持つ社員や来訪者に無線インターネットアクセスを提供している。一方、彼らのネットワーク利用を企業システムへのアクセスのみに制限している企業もある。多くの企業が、個人のデバイスによる社内データの保存、処理、通信に起因するデータ流出の防止策を推進している。

　本稿では、スマートフォンやPDAなど、個人所有の各種モバイルデバイスを企業内で管理する際のセキュリティ上の考慮点について説明する。まず重要なのが、会社のネットワーク上で個人のデバイスを利用することについて、許可するかどうかを決めることだ。一切許可しないことにすれば一件落着となりそうに思えるが、この問題は熟考に値する。インターネットにアクセスできるモバイルデバイスを許可すれば、社員のモチベーションが高まるかもしれない。また、厳しいポリシーは、得てしてすぐに変わってしまうものだ。特に、お偉方が新しいモバイルデバイスを持ってくるときには。

個人所有デバイスの隔離

　個人所有のデバイスの大部分は、企業の無線ネットワーク（有線ネットワークではなく）に接続できる。そこで企業は、アクセスポイントに新しいSSID（Service Set Identifier）を追加するだけで、個人所有デバイス用の隔離されたネットワークを用意できる。変更を行ったら、次はこのネットワークへのアクセスを完全に開放するか、アクセス前に「キャプティブポータル」認証を要求するかを決めなければならない。キャプティブポータルは、ホテルやコーヒーショップでよく使われるもので、未知のクライアントからのすべてのHTTPリクエストを特別なWebページにリダイレクトし、ユーザーが有効な資格情報で自分を証明すると、インターネットへのアクセスを許可する。

　隔離されたネットワーク上のデバイスには、企業リソースへの直接アクセスを許可してはならない。認証を経ていないデバイスの場合はなおさらだ。会社のポリシーで個人所有デバイス上での企業データの利用を許可している場合には、このゲストネットワーク上のユーザーには、企業リソースへのアクセス前に会社のVPN（Virtual Private Network）に接続するよう要求する必要がある。ゲストネットワークを「信頼されていない」状態に保つためだ。

NACによるポスチャチェック

　多くの企業が、自社のエンタープライズセキュリティアーキテクチャの中で、ネットワークアクセス制御（NAC）技術をどこに適用するのが適切かを模索している。だが、ゲストネットワークでシステムポスチャ（system posture：セキュリティ対策状況）を検証すれば、大きなメリットが得られるのは明らかだ。実際、企業がNACの全社的な導入を検討していて、この複雑な技術を限定的な規模で試したいと考えている場合、ゲストネットワークはNACを試験導入するのにうってつけだ。企業はゲストネットワークへの接続をデバイスに許可する前に、NACを利用してそのエンドポイントが最小限のセキュリティ基準（少なくとも、適切に設定されたウイルス対策ソフトウェアとホストファイアウォールソフトウェアが稼働していること）を満たしているかどうかを確認できる。

企業データの利用

　個人所有デバイスで企業データを扱うことを企業が許可する場合、セキュリティ対策が会社のオフィスだけでなく社員の自宅でも実行されることになり、社員の生産性にも影響を与えそうだ。現在では、社員がテレコミューターとして、あるいは夜や週末に電子メールをチェックするという形で、自宅で仕事をするのはごく普通のことだ。モバイルデバイスを使うリモートワーカーを抱える企業では、ユーザーが会社のシステム以外のこうしたデバイスで、どのようなデータをどのような方法で処理すべきかといった適切な行動を定めたポリシーを、十分な時間を割いて明確に策定する必要がある。こうした点について要件を明示しておかないと、デバイスの使い方に関して「グレーゾーン」が発生するのはほぼ確実だ。

　企業における個人所有デバイスの使い方について決定を下す際には、セキュリティ上の要件と実務上の配慮のバランスを取らなければならない。このバランスの取り方は、企業によって大きく異なってくる。バランスを取るには適切なセキュリティ方針を念頭に置き、注意深く検討を行う必要がある。

本稿筆者のマイク・チャップル氏は、ノートルダム大学のITセキュリティプロフェッショナル職を務めており、CISA（公認情報システム監査人）、CISSP（公認情報システムセキュリティプロフェッショナル）の資格を持つ。米国国家安全保障局と米国空軍に情報セキュリティ研究員として勤務した経験がある。「Information Security」誌のテクニカルエディターを務めるほか、「CISSP: Cissp Certified Information Systems Security Professional」や「Information Security Illuminated」（いずれも共著）など、情報セキュリティに関する数冊の著書がある。