モバイル時代のセキュリティ対策は、クライアントPCでの対策とは別物だ。IT部門が知るべき3大モバイルセキュリティリスクに対する最善の対策とは。
モバイルセキュリティの脅威が増大している。組織のデータを守るため、常に最善の対策を講じる責任はITプロフェッショナルにある。
モバイルマルウェアなどの脅威が一般的になりつつある中で、それに対抗するためのベストプラクティスも進化している。ITコンサルタントFive Nines IT Solutionsの社長兼最高経営責任者(CEO)、ダグ・グロスフィールド氏は、「脅威の数は増大しているが、自らを守るための対策の数も増えている。常に身を守るためには常に知識を身に付けることだ」と話す。
マルウェアに加えて、モバイルの時代には情報流出やエンドユーザーのミスに起因する脅威も増えつつある。多くの組織では、そうした潜在的リスクを寄せ付けないための対策が欠如している。
IT部門が適切な対応を怠ったことにより、モバイルマルウェアの急拡大を許したとグロスフィールド氏は言う。
一部の企業は、ウイルス対策ソフトのようなクライアントPCに使われるのと同じ技術でモバイルマルウェアに対抗しようとしている。だがモバイルマルウェアは事情が異なる。Appleのアプリストア「App Store」やGoogleのアプリストア「Google Play」に不正なアプリが入り込み、それをエンドエンドユーザーがダウンロードして感染することもあるからだ。
エンタープライズモバイル管理を手掛けるMobileIronが顧客から情報を収集してまとめた報告書によると、企業の95%以上はモバイルマルウェアに対して何の対策も講じていない。
AppthorityやFireEye、Check Point Software Technologiesといった各社が提供するモバイル脅威対策プラットフォームや、アプリの評判は、アプリストアの不正アプリや悪質アプリのダウンロードを阻止する助けになり得る。また、モバイル脅威対策プラットフォームはマルウェアが仕込まれているアプリを発見でき、IT部門はダウンロードした端末を自動的に隔離できる。
クラウドベースのストレージやファイル同期アプリの成長により、データ流出の可能性も増大した。従業員は会社のコンテンツを、「Dropbox」や「Google Drive」「Microsoft OneDrive」といったコンシューマー向けのクラウドファイル共有アプリで保存したり、共有したりしているかもしれない。これは情報流出につながりかねず、組織のセキュリティポリシー違反や法令違反に当たる可能性もある。
ITコンサルタント企業、HillSouthの創業者でCEOのロビー・ヒル氏は、情報流出に対応することは可能だと話す。多くのIT部門は、従業員に使ってほしくないアプリをブラックリスト化することによって、クラウドからの情報流出に対抗している。
「故意に情報を持ち出そうとする人間を阻止する方が難しい。だがうっかりミスは回避できる。ミスが起きにくいように幾つか障壁を設ければいい」とヒル氏は助言する。ただし単に障壁を増やすだけでは、従業員は仕事をこなすために別の方法を見つけてしまう。モバイル分析会社、J. Gold Associatesの社長で創業者のジャック・ゴールド氏は、「アプリのブラックリスト化だけでは問題は解決しない。アプリが1本ブロックされれば、従業員は他の使えるアプリを3本見つけてくる」と言う。
MobileIronの報告書によれば、企業のIT部門がブラックリスト化したアプリ10本のうち5本はクラウドファイル共有アプリが占める。従業員の使用を認めるアプリをIT部門が承認するホワイトリストの方がうまくいくとゴールド氏は指摘する。セキュアでない電子メールやクラウドファイル共有プラットフォームは代替を用意することも大切だ。例えばIT部門がGmailのような個人メールアカウントを使った会社の文書の共有を禁止する一方で、エンタープライズ版のクラウドファイル共有アプリである「Box」やDropboxを許可することもできる。
「要はエンドユーザーのニーズを解決することによってエンドユーザーを味方に付ければいい。そうすればエンドユーザーも障害を乗り越えようとは思わない」とゴールド氏。
多くの従業員はIT部門が講じたセキュリティ対策を無視することによって、あるいは端末を紛失することによって、組織を危険にさらす。端末のセキュリティ対策の欠如はあまりにありふれた問題だとグロスフィールド氏は話す。
「混雑したコーヒーショップや空港のラウンジに行けば、画面がロックされていなかったり、暗号化されていなかったり、会社のデータや電子メールアプリなどにアクセスできてしまうスマートフォンが5~6台は見つかる。いまだに多くのモバイル端末は開け放ったまま防御できていない」(同氏)
中には従業員が自分の端末の暗証番号を削除したり、IT部門のモバイル管理ソフトウェアを削除しようとしたりする場合もある。そうした場合、IT部門は端末を隔離して、その従業員が規則に従うまで会社のコンテンツへアクセスを制限することができる。端末を紛失した場合、IT部門は遠隔操作で業務用の区画や端末全体を消去して会社のデータを保護できる。
MobileIronの報告書によると、携帯電話の暗証番号を削除したエンドユーザーがいる企業は22%、端末の紛失や盗難を経験した企業は33%に上った。第一に、従業員がセキュリティ対策を無視しないようにセキュリティポリシーを徹底することが重要だ。前述の3大モバイルセキュリティ脅威を念頭に置けば、組織は会社のコンテンツの守りを強化しながら、モバイルワーカーの力になることができる。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
