iPhone／Androidスマホの「位置情報追跡」が法に触れる場合も？：モバイル活用に欠かせない「EMM」の光と影

モバイルデバイスの企業利用を安全に進めるのに役立つEMM製品。IT管理者にもたらすメリットが多いEMM製品だが、導入に当たっては注意すべき点もある。

[Ramin Edmond，TechTarget]

モバイルセキュリティに関して活発な議論が繰り広げられたIBM InterConnect（画面はIBM InterConnectの公式サイト）《クリックで拡大》

　Appleの「iPhone」やGoogleの「Android」搭載デバイスをはじめとするモバイルデバイスの企業利用が普及するにつれて、セキュリティのリスクも高まっている。IT管理者には、この状況に対処する責任がある。

　IBMが2016年2月下旬に米国ラスベガスで開催したカンファレンス「IBM InterConnect」のあるセッションでは、IT担当者がモバイルセキュリティに関する主な懸念事項の幾つかを明らかにした。挙がった懸念事項は、紛失／盗難に遭ったデバイスの保護やデータ漏えいの防止、デバイスの脆弱（ぜいじゃく）性の補強などだ。

併せて読みたいお勧め記事

“怖いスマートフォン”の真相

• iPhoneやAndroid端末のタッチ操作を盗み見る“予想外”な手口
• オバマ大統領が「iPhone」を使わない“やっぱり”な理由
• Androidが「iPhoneより危険」といわれ続ける不名誉な理由

意外と危険、BYODの法的リスク

• 私物スマートフォンを監視　合法と違法の境目は
• 私物スマートフォンで持ち帰り残業、残業代は請求できる？

デバイスを保護する

　従業員はさまざまなモバイルデバイスを職場に持ち込む。そのため企業にとって、コンテナ化やリモートワイプなどの機能を使用して、複数のOSを保護できる「エンタープライズモビリティ管理（EMM）」のようなセキュリティ製品の重要性が高まっている。

　「EMMは、スマートフォンが紛失や盗難に遭ったときや従業員の退職時のセキュリティ確保に欠かせない」。そう語るのは、デンマークのコペンハーゲンに拠点を置くファシリティマネジメントサービス業のISS Facility Servicesで、ITシニアプログラムマネジャーを務めるブリジット・ファガーホルト氏だ。

　ISS Facility Servicesは、IBMのEMM「IBM MaaS360（現IBM MobileFirst Protect）」を使用して、従業員の仕事用のデータやアプリケーションの領域をコンテナ化した。これにより、会社のメールや連絡先、アプリケーションへの安全なアクセスを可能にしている。

　「当社のBYOD（私物端末の業務利用）ポリシーでは、従業員の退職時にデバイスからMaaS360を削除すれば問題ない。デバイスからMaaS360を削除すれば、業務に関するコンテンツはデバイスに一切残らない」とファガーホルト氏は説明する。

プライバシーの懸念に対処する

　EMMのセキュリティ機能の中には、従業員からプライバシーを懸念する声が上がっているものもある。例えば、リモートワイプやGPS（全地球測位システム）の追跡機能だ。企業は、所属している業界や地域に固有のプライバシーに関する法規制に従う義務がある。

　例を1つ紹介しよう。デンマークに本拠を置くISS Facility Servicesは、同国の法律に従わなければならない。そのためには、GPSによる位置情報追跡技術を実装する6週間前に、IT部門は従業員にそのことを通知する必要がある。その上で同社は、ユーザーのプライバシーを保護するためのポリシーも施行した。

　ISS Facility Servicesは、他の従業員のGPSの位置情報にアクセスするためには、IT部門の責任者と人事部門の責任者がそのリクエストを評価して承認しなければならないようにした。「簡単に承認を得られないようにする必要がある。従業員が、『GPSの位置情報へのアクセスが簡単に付与されない』という事実を把握できることが重要だ」（ファガーホルト氏）

アプリケーションとデータを保護する

　IT部門はデバイスだけでなく、ファイルやアプリケーションのレベルでもセキュリティを実装しなければならない。「その1つの方法論は、既知の脆弱なアプリケーションをブラックリストに入れることだろう」。そう語るのは、米国サンフランシスコに拠点を置くDignity Healthでエンタープライズモビリティのマネジャーを務めるジェレミー・マローン氏だ。同社はMobileIronのEMM製品を利用している。

　多くのEMM製品は、脆弱なアプリケーションを特定でき、LAN内での使用を防ぐのに役立つ。「従業員による脆弱なアプリケーションのインストールは防止可能だ。そのような事象が発生した場合は、警告を表示してデバイスを隔離することもできる」（マローン氏）

ユーザーアクセスを管理する

　モバイルデバイスからビジネスアプリケーションへ簡単にアクセスできないようにしている企業では、従業員はIT部門のセキュリティ標準を満たさないアプリケーションを使おうと考え、“抜け道”を見つけようとするだろう。「従業員がEMM製品による制御を回避する事態は避けなければならない」とマローン氏は語る。

　EMM製品への実装が進みつつあり、エンドユーザーの操作性を向上するのに役立つ機能に「シングルサインオン（SSO）」がある。従業員がSSOの仕組みを使用すると、アプリケーションやコンテンツへアクセスする度に、幾つものログイン名とパスワードを入力しなくて済むようになる。

　本人以外によるログインが疑われる場合に追加の認証を課す「リスクベース認証」の機能は、IT部門がアクセスポリシーを強制するのに役立つ。リスクベース認証は、エンドユーザーのデバイス利用に関する習慣やパターンを検出して、脅威の兆候となる異常な活動を警告する。例えば、デバイスがいつもと異なる場所やIPアドレスから会社のデータにアクセスした場合に警告を発し、そのアクセスが安全かどうかをIT部門が確認できるようにする。