スマートフォンやPDAなど、個人所有の各種モバイルデバイスを企業内で管理する際のセキュリティ上のポイントについて説明する。
iPhoneやiPod touch、BlackBerry、Treoなどネットワーク対応の小型デバイスは、今やわたしたちの生活に欠かせないものになっている。ほとんどの人が少なくとも1台は電子ガジェットをポケットに入れて持ち歩いており、こうしたデバイスの多くでは、無線ネットワークに素早く簡単にアクセスできる。
個人所有のモバイルデバイスに対する企業の扱いはさまざまだ。一部の企業は利便性を重視して、こうしたデバイスを持つ社員や来訪者に無線インターネットアクセスを提供している。一方、彼らのネットワーク利用を企業システムへのアクセスのみに制限している企業もある。多くの企業が、個人のデバイスによる社内データの保存、処理、通信に起因するデータ流出の防止策を推進している。
本稿では、スマートフォンやPDAなど、個人所有の各種モバイルデバイスを企業内で管理する際のセキュリティ上の考慮点について説明する。まず重要なのが、会社のネットワーク上で個人のデバイスを利用することについて、許可するかどうかを決めることだ。一切許可しないことにすれば一件落着となりそうに思えるが、この問題は熟考に値する。インターネットにアクセスできるモバイルデバイスを許可すれば、社員のモチベーションが高まるかもしれない。また、厳しいポリシーは、得てしてすぐに変わってしまうものだ。特に、お偉方が新しいモバイルデバイスを持ってくるときには。
個人所有のデバイスの大部分は、企業の無線ネットワーク(有線ネットワークではなく)に接続できる。そこで企業は、アクセスポイントに新しいSSID(Service Set Identifier)を追加するだけで、個人所有デバイス用の隔離されたネットワークを用意できる。変更を行ったら、次はこのネットワークへのアクセスを完全に開放するか、アクセス前に「キャプティブポータル」認証を要求するかを決めなければならない。キャプティブポータルは、ホテルやコーヒーショップでよく使われるもので、未知のクライアントからのすべてのHTTPリクエストを特別なWebページにリダイレクトし、ユーザーが有効な資格情報で自分を証明すると、インターネットへのアクセスを許可する。
隔離されたネットワーク上のデバイスには、企業リソースへの直接アクセスを許可してはならない。認証を経ていないデバイスの場合はなおさらだ。会社のポリシーで個人所有デバイス上での企業データの利用を許可している場合には、このゲストネットワーク上のユーザーには、企業リソースへのアクセス前に会社のVPN(Virtual Private Network)に接続するよう要求する必要がある。ゲストネットワークを「信頼されていない」状態に保つためだ。
多くの企業が、自社のエンタープライズセキュリティアーキテクチャの中で、ネットワークアクセス制御(NAC)技術をどこに適用するのが適切かを模索している。だが、ゲストネットワークでシステムポスチャ(system posture:セキュリティ対策状況)を検証すれば、大きなメリットが得られるのは明らかだ。実際、企業がNACの全社的な導入を検討していて、この複雑な技術を限定的な規模で試したいと考えている場合、ゲストネットワークはNACを試験導入するのにうってつけだ。企業はゲストネットワークへの接続をデバイスに許可する前に、NACを利用してそのエンドポイントが最小限のセキュリティ基準(少なくとも、適切に設定されたウイルス対策ソフトウェアとホストファイアウォールソフトウェアが稼働していること)を満たしているかどうかを確認できる。
個人所有デバイスで企業データを扱うことを企業が許可する場合、セキュリティ対策が会社のオフィスだけでなく社員の自宅でも実行されることになり、社員の生産性にも影響を与えそうだ。現在では、社員がテレコミューターとして、あるいは夜や週末に電子メールをチェックするという形で、自宅で仕事をするのはごく普通のことだ。モバイルデバイスを使うリモートワーカーを抱える企業では、ユーザーが会社のシステム以外のこうしたデバイスで、どのようなデータをどのような方法で処理すべきかといった適切な行動を定めたポリシーを、十分な時間を割いて明確に策定する必要がある。こうした点について要件を明示しておかないと、デバイスの使い方に関して「グレーゾーン」が発生するのはほぼ確実だ。
企業における個人所有デバイスの使い方について決定を下す際には、セキュリティ上の要件と実務上の配慮のバランスを取らなければならない。このバランスの取り方は、企業によって大きく異なってくる。バランスを取るには適切なセキュリティ方針を念頭に置き、注意深く検討を行う必要がある。
本稿筆者のマイク・チャップル氏は、ノートルダム大学のITセキュリティプロフェッショナル職を務めており、CISA(公認情報システム監査人)、CISSP(公認情報システムセキュリティプロフェッショナル)の資格を持つ。米国国家安全保障局と米国空軍に情報セキュリティ研究員として勤務した経験がある。「Information Security」誌のテクニカルエディターを務めるほか、「CISSP: Cissp Certified Information Systems Security Professional」や「Information Security Illuminated」(いずれも共著)など、情報セキュリティに関する数冊の著書がある。
Copyright © ITmedia, Inc. All Rights Reserved.
企業のITシステムのクラウド化が進むにつれ、情報システム部門の運用管理負担が増している。しかし、IT人材の不足により、人的リソースの補充は容易ではない。そこで本資料では、AWS運用の負担を軽減する方法を紹介する。
カスタマーサービスのサイロ化、問題解決の長時間化などの課題が顕在化している今、CXを変革する方法として、生成AIと自動化が注目されている。これらを活用することで、顧客満足度や問題解決時間はどう変わるのか、3つの実例から探る。
企業の生産性を向上させるためには、従業員が快適に働ける環境作りが重要になる。そこで参考にしてほしいのが、サイボウズが導入している「PCの従業員選択制」だ。業務用の端末を従業員が自由に選べることによる効果を紹介する。
Windows Server 2025は、セキュリティや可用性の向上に加え、Active Directory不要のワークグループ環境でもフェールオーバーとHyper-Vによるライブマイグレーションを実現した。Windows Server 2025が備える特長を詳しく解説する。
企業ITの複雑化が加速する中、安定運用とセキュリティリスク低減を図るため、マネージドサービスの採用が拡大している。本資料では、コンサルティング支援からシステム設計・構築、運用までを包括的にサポートするサービスを紹介する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
