携帯端末のコンプライアンスと従業員管理：ノートPCと同じレベルでの管理が必要

携帯端末にもコンプライアンスが要求されるようになり、モバイルコンプライアンスの問題がいっそう複雑になってきた。

≫ 2007年09月25日 05時00分公開

[Lisa Phifer，TechTarget]

　今日、社員がPDAやスマートフォンなどのワイヤレス携帯端末を使用していることは、多くの企業が認識していることだ。携帯端末コンプライアンスをどのように監査、適用、立証すべきかを検討していこう。

初歩的段階

　Ponemon Instituteの調査によると、多くのITプロフェッショナルはコンプライアンスの重要性は理解しつつも、効率的かつ効果的な実践手段を策定するのに苦労しているようだ。回答者の58％はソフトウェアツールを使わずに手作業で監視・テストを実施しており、86％はこういった作業を一元化しておらず、リスク管理の理解が不足している恐れがある複数の部署に責任を分散している。長期的に見れば、自動化された一元的なプロセスの方がはるかに効果的で持続性が高いのは当然だ。

　この常識的指針は、モバイルワーカーと彼らが持ち歩く端末にも当てはまる。今日、社員がPDAやスマートフォンなどのワイヤレス携帯端末を使用していることは、多くの企業が認識している。携帯端末の業務利用に関するセキュリティポリシー（ビジネスリスクを減らすために導入すべき対策も含む）を定めている企業も増えている。しかし、携帯端末がいつ、どんな方法で企業の資産や法規制の対象となる可能性のあるデータにアクセスしたかを記録する包括的なプロセスを完全に自動化している企業は少ない。

携帯端末とユーザーのリストの作成

　CFO（最高財務責任者）が自分のiPhoneを紛失したとしても、そのiPhoneに暗号化されていない財務データが含まれていなかったかどうか知ることはできないし、それを立証することなどまず不可能だろう。iPhoneや不注意なCFOが悪いと言っているのではない。従来のコンプライアンス対策には、共通の（しかも深刻な）抜け穴があることを示す例を挙げたのだ。多くの企業では、ネットワークに接続したノートPC（VPNトンネルの向こう側にあるものも含む）のセキュリティに関する設定、チェック、記録のプロセスを既に確立している。しかしノートPC対策を主体としたプロセスの中で、従業員が所有するPDAなどの携帯端末までカバーしているものがどれだけあるだろうか。

　重要なのは、法規制の対象となるデータが含まれている可能性のある端末の完全なリストを作成することである。このリストには、社内のサーバやデスクトップ、従業員が持ち歩くノートPCだけでなく、自社のネットワークおよびシステムに接続するすべての端末を含めなければならない。従業員が自らPDAや携帯電話をIT部門に提出し、登録と設定の申請をするのを期待してはならない。社内のデスクトップのネットワークアダプタやWi-Fiアクセスポイント、インターネットにつながったVPN、アプリケーションゲートウェイなど、ネットワークのすべての接続ポイントを包括的に監視する一元的な自動ツールに投資する必要がある。

　注意しなければならないのは、同じ携帯端末であってもさまざまな方法で会社のネットワークにアクセスする可能性があり、また同じユーザーが複数の端末を通じて会社のネットワークにアクセスする可能性もあるという点だ。すべての接続ポイントからアクセス記録を収集するとともに、監視対象から漏れた経路（例えば、USBやBluetooth経由での携帯端末とデスクトップの接続）がないようにすること。さらに、フィンガープリント手法と相関手法を用いて、携帯端末、アクセス方法、関連するユーザーのIDのリストを作成する必要もある。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}