モバイル端末のセキュリティポリシーを定めている企業が多いにもかかわらず、課題が絶えないのはなぜか。米McAfeeらが調査した企業のモバイル端末利用実態から、その原因が見えてきた。
企業のIT管理者には目下、「複数のスマートフォンプラットフォームへの対応」「効果の少ないセキュリティポリシー」「社内のネットワークには1つの端末からアクセスしたいというエンドユーザーの要望の高まり」などの課題が山積みだ。そうしたIT管理者にとって、スマートフォンの紛失・盗難は大きなセキュリティ脅威となっている。
米McAfeeが米カーネギーメロン大学の研究者らと共同でまとめた最新のスマートフォンセキュリティ調査報告によると、全体の4割の企業がモバイル端末の紛失あるいは盗難を経験していた。さらに、紛失や盗難にあった端末の半数には重要な業務データが保存されていたという。このリポートでは、英調査会社Vanson Bourneの協力の下、世界14カ国の1500人を対象に実施された調査の結果が概略されている(※関連記事:企業のモバイル依存が高まる――McAfeeが実態調査:ITmedia エンタープライズ)。
同調査では、モバイル端末の紛失を経験した企業の3分の1以上が金銭的な影響を被っていることが明らかになった。モバイル端末を紛失するリスクは、モバイルプラットフォームを狙ったマルウェアの脅威よりも深刻であるようだ。モバイルプラットフォームを狙った攻撃の増加が以前から予想されているにもかかわらず、これまでのところ、そうした攻撃はごくわずかだ。「セキュリティを無視した危険な行為やセキュリティ意識の低さが目立つ。そうしたことがモバイル端末を狙ったマルウェアよりも大きな脅威を投げ掛けている」とカーネギーメロン大学の研究者は指摘している。
さらに同調査では、エンドユーザーが自分の端末をロックするためのセキュリティ対策をほとんど行っていない実態も明らかとなった。自分の端末のデータのバックアップを週1回以上のペースで行っているユーザーは、全体の半数に満たなかった。またユーザーの約半数はパスワードやPINコード、クレジットカード情報をモバイル端末に保存しており、3人に1人は業務に関連する機密情報をスマートフォンに保存していることも明らかになった。
企業はモバイル端末向けのセキュリティポリシーを策定していないわけではない。だが調査では、自社のスマートフォン向けセキュリティポリシーの内容を理解している従業員は3人に1人以下にとどまった。大半の従業員は自分のモバイル端末のアクセス許可に気付いておらず、気付いている従業員は、自社のポリシーを「厳し過ぎる」と感じている。つまり企業は、「生産性に影響を及ぼさないこと」と「セキュリティポリシーを策定すること」の適正なバランスを取るのに苦労しているということのようだ。
「ポリシーの策定と実施が一筋縄ではいかないことが分かってきた」とこの調査報告には記されている。
さらにこのリポートは、複数のプラットフォームにわたってポリシーの監視と実施を行うためにスマートフォン管理ソフトウェアを用いることを奨励している。位置情報取得のためのジオロケーションデータ、リモートワイプ機能など、この種のソフトウェアに含まれる各種の機能には、「自分の端末に個人および業務に関わる機密情報が含まれていることを従業員に意識させる」という役割も期待できる。
「従業員は自社のセキュリティポリシーの内容とその理由を理解する必要がある。自分が会社の情報の管理人であり、自分自身の生活も、そうした情報をセキュアに保てるかどうかに懸かっているということを理解しなければならない」とリポートには記されている。
さらにこの調査リポートは企業に対し、モバイル端末のセキュリティ問題に対処するためには、セキュリティポリシーを十分に伝達し、スマートフォン上のデータに関する脅威をエンドユーザーに周知させることが必要だと呼び掛けている。「企業はスマートフォンにも、ノートPCやデスクトップPCと同様のセキュリティ対策と管理プロセスを適用すべきだ」とリポートには記されている。そのためには、まずデータを機密レベルに応じて分類し、アクセスと持ち運びに関して適切なセキュリティ対策を適用する必要がある。
「スマートフォンのファイルベースの暗号化はリムーバブルメディアにも有効だ」と指摘するのは、データ暗号化ベンダーである米Credant TechnologiesのCTO(最高技術責任者)、クリス・バーチェット氏だ。同氏によると、最近ではモバイル端末でWebベースのストレージリポジトリや社外のファイルシステムを利用するケースが増えており、ITセキュリティ担当者にとってはさらに大きな悩みの種になっているという。
「業務データを端末に移動させずに済むのであれば、それに越したことはない。結局のところ、コラボレーションやデータ共有のためのアクセス制御やキー管理が重要となる」とバーチェット氏。
リポートによると、セキュリティポリシーを適用する際には、企業にはうまくバランスを取ることが求められるという。
「従業員が所有する端末にはその企業の経営方針や労使関係も影響するため、ポリシーの策定に際しては、企業にはリスクを考慮した上での微妙なさじ加減が求められる。どのような方法が適切かは、業種や職務、状況によってもそれぞれ異なる」とリポートは指摘している。
スマートフォンセキュリティベンダーである米Mobile Active Defenseのウィン・シュバルタウ氏は先ごろ、米TechTargetの取材に応じ、「モバイル端末は企業における従来のセキュリティモデルを打ち壊しつつある」と語った。同氏によれば、最近は企業の幹部がIT部門に対し、モバイル端末を社内のネットワークと接続させることを求め、さらにはそうした異種プラットフォームのサポートまでをも迫るようになってきているという。
「こうした問題に対処するための制限的な措置は、企業レベルではまだ計画も実施もされていない」と同氏は語った。
Copyright © ITmedia, Inc. All Rights Reserved.
ソフトバンクロボティクスでは、働き方の変化や海外拠点の増加に対応する中で、ゼロトラストセキュリティを前提としたグローバルレベルのIT統制が必要となった。Appleデバイスを業務利用する同社は、どのようなアプローチを採用したのか。
業務用モバイルデバイスの管理にMDMツールを使う企業は多いものの、iPhoneやiPadの管理に関しては、限られたインベントリ情報しか取得できない、UIが分かりにくい、などの課題も多い。そうした「12の困りごと」と、解決策を紹介する。
リモート接続におけるITサポートチームは、安定稼働が大きな使命の1つだが、近年はシステムの複雑化に伴い、ITオペレーションの負担が増大している。本資料では、AIを活用してITオペレーションの効率を大きく改善する方法を紹介する。
昨今、多くの企業が業務にリモートアクセスを取り入れているが、リモート接続ツールの導入には、専門知識が求められる。また初期設定や運用設計などを自社で行う場合、最適化されていないケースも多い。どのように解消すればよいのか。
スマートフォンの進化により、「ノートPCとの2台持ち」の必要性は薄れつつある。スマートフォンをノートPCとして使うための便利な方法を解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
