モバイル時代のセキュリティ対策は、クライアントPCでの対策とは別物だ。IT部門が知るべき3大モバイルセキュリティリスクに対する最善の対策とは。
モバイルセキュリティの脅威が増大している。組織のデータを守るため、常に最善の対策を講じる責任はITプロフェッショナルにある。
モバイルマルウェアなどの脅威が一般的になりつつある中で、それに対抗するためのベストプラクティスも進化している。ITコンサルタントFive Nines IT Solutionsの社長兼最高経営責任者(CEO)、ダグ・グロスフィールド氏は、「脅威の数は増大しているが、自らを守るための対策の数も増えている。常に身を守るためには常に知識を身に付けることだ」と話す。
マルウェアに加えて、モバイルの時代には情報流出やエンドユーザーのミスに起因する脅威も増えつつある。多くの組織では、そうした潜在的リスクを寄せ付けないための対策が欠如している。
IT部門が適切な対応を怠ったことにより、モバイルマルウェアの急拡大を許したとグロスフィールド氏は言う。
一部の企業は、ウイルス対策ソフトのようなクライアントPCに使われるのと同じ技術でモバイルマルウェアに対抗しようとしている。だがモバイルマルウェアは事情が異なる。Appleのアプリストア「App Store」やGoogleのアプリストア「Google Play」に不正なアプリが入り込み、それをエンドエンドユーザーがダウンロードして感染することもあるからだ。
エンタープライズモバイル管理を手掛けるMobileIronが顧客から情報を収集してまとめた報告書によると、企業の95%以上はモバイルマルウェアに対して何の対策も講じていない。
AppthorityやFireEye、Check Point Software Technologiesといった各社が提供するモバイル脅威対策プラットフォームや、アプリの評判は、アプリストアの不正アプリや悪質アプリのダウンロードを阻止する助けになり得る。また、モバイル脅威対策プラットフォームはマルウェアが仕込まれているアプリを発見でき、IT部門はダウンロードした端末を自動的に隔離できる。
クラウドベースのストレージやファイル同期アプリの成長により、データ流出の可能性も増大した。従業員は会社のコンテンツを、「Dropbox」や「Google Drive」「Microsoft OneDrive」といったコンシューマー向けのクラウドファイル共有アプリで保存したり、共有したりしているかもしれない。これは情報流出につながりかねず、組織のセキュリティポリシー違反や法令違反に当たる可能性もある。
ITコンサルタント企業、HillSouthの創業者でCEOのロビー・ヒル氏は、情報流出に対応することは可能だと話す。多くのIT部門は、従業員に使ってほしくないアプリをブラックリスト化することによって、クラウドからの情報流出に対抗している。
「故意に情報を持ち出そうとする人間を阻止する方が難しい。だがうっかりミスは回避できる。ミスが起きにくいように幾つか障壁を設ければいい」とヒル氏は助言する。ただし単に障壁を増やすだけでは、従業員は仕事をこなすために別の方法を見つけてしまう。モバイル分析会社、J. Gold Associatesの社長で創業者のジャック・ゴールド氏は、「アプリのブラックリスト化だけでは問題は解決しない。アプリが1本ブロックされれば、従業員は他の使えるアプリを3本見つけてくる」と言う。
MobileIronの報告書によれば、企業のIT部門がブラックリスト化したアプリ10本のうち5本はクラウドファイル共有アプリが占める。従業員の使用を認めるアプリをIT部門が承認するホワイトリストの方がうまくいくとゴールド氏は指摘する。セキュアでない電子メールやクラウドファイル共有プラットフォームは代替を用意することも大切だ。例えばIT部門がGmailのような個人メールアカウントを使った会社の文書の共有を禁止する一方で、エンタープライズ版のクラウドファイル共有アプリである「Box」やDropboxを許可することもできる。
「要はエンドユーザーのニーズを解決することによってエンドユーザーを味方に付ければいい。そうすればエンドユーザーも障害を乗り越えようとは思わない」とゴールド氏。
多くの従業員はIT部門が講じたセキュリティ対策を無視することによって、あるいは端末を紛失することによって、組織を危険にさらす。端末のセキュリティ対策の欠如はあまりにありふれた問題だとグロスフィールド氏は話す。
「混雑したコーヒーショップや空港のラウンジに行けば、画面がロックされていなかったり、暗号化されていなかったり、会社のデータや電子メールアプリなどにアクセスできてしまうスマートフォンが5〜6台は見つかる。いまだに多くのモバイル端末は開け放ったまま防御できていない」(同氏)
中には従業員が自分の端末の暗証番号を削除したり、IT部門のモバイル管理ソフトウェアを削除しようとしたりする場合もある。そうした場合、IT部門は端末を隔離して、その従業員が規則に従うまで会社のコンテンツへアクセスを制限することができる。端末を紛失した場合、IT部門は遠隔操作で業務用の区画や端末全体を消去して会社のデータを保護できる。
MobileIronの報告書によると、携帯電話の暗証番号を削除したエンドユーザーがいる企業は22%、端末の紛失や盗難を経験した企業は33%に上った。第一に、従業員がセキュリティ対策を無視しないようにセキュリティポリシーを徹底することが重要だ。前述の3大モバイルセキュリティ脅威を念頭に置けば、組織は会社のコンテンツの守りを強化しながら、モバイルワーカーの力になることができる。
Copyright © ITmedia, Inc. All Rights Reserved.
SEOは総合格闘技である――「SEOおたく」が語る普遍のマインド
SEOの最新情報を発信する「SEOおたく」の中の人として知られる著者が、SEO担当者が持つべ...
HubSpot CMSにWebサイトの「定石」を実装 WACUL×100のパッケージ第1弾を提供開始
WACULと100は共同で、Webサイトの「定石」をHubSpotで実装する「Webサイト構築パッケージ...
電通調査で「料理は面倒」が6割超 なぜそうなった?
電通の国内電通グループ横断プロジェクト「電通 食生活ラボ」は、「食生活に関する生活者...