モバイル端末のセキュリティを脅かす要素はあらゆる場所に存在する。従業員には自分の身を守る訓練をしてもらうことが大切だ。
スマートフォンの普及が企業にもたらすセキュリティリスクは小さくない(TechTargetジャパン「徹底レビュー:『iPhone 6s』の突き抜けた進化、『3D Touch』の底知れぬ可能性とは」より)《クリックで拡大》
IT部門にとってセキュリティの方程式を解くことは困難だ。モバイル端末の流入で、事態はさらに複雑化している。業務上重要なアプリケーションとデータが入ったモバイル端末はあらゆる場所に存在し、企業をかつてないほどのリスクにさらしている。たった1人のユーザーがパスワードを設定していないスマートフォンを放置しただけで、全社的な不正侵入事件に発展しかねない。
本稿ではITガバナンスについて企業に助言する専門団体ISACA(情報システムコントロール協会)の役員、エディ・シュワルツ氏にインタビューし、現代のモバイルセキュリティを脅かすリスクについて語ってもらった。シュワルツ氏はデジタル広告市場のサイバーセキュリティを手掛けるWhite Opsの最高執行責任者(COO)だ。モバイルセキュリティ研修の重要性と、避けるべき重大な過ちについて解説する。
―― 現代のセキュリティを脅かす筆頭の脅威とは。
シュワルツ氏 従業員が自分のモバイル端末に適切なセキュリティ対策を講じていない状況がそれに当たる。パスワードを設定していなかったり、基本である4桁の暗証番号を使っていなかったりするモバイル端末が存在する。他人が触れることのできる場所にモバイル端末が放置されることもある。適切なセキュリティ設定と、モバイル端末に対する適切な行動について、従業員の意識を高めてもらう必要がある。
犯罪者が「トロイの木馬」をはじめとするマルウェアのインストール方法を見つけ出し、従業員に正規の機能を提供しながら別のプロセスに介入することもあり得る。その被害はさまざまで、一部のOSではサービスやプロセスがインストールされ、端末のデータが盗まれたり消去されたりする。たとえマルウェアがインストールされないとしても、従業員の端末が突然自分で制御できない状況に陥ることもある。
現在、世界の主要メーカーは半年から9カ月ごとに、同じスマートフォンの新しいバージョンをリリースしている。アプリは場合によっては数日ごとに自動で更新されるものもある。われわれはそうした更新の実際の内容を十部に理解できているわけではない。
企業にとって、従業員が利用するIT製品を統制することは非常に難しい。例えば従業員に対して、Samsung Electronicsの「Galaxy S7」やAppleの「iPhone 6s」の利用を本当は許可していない、といったことを言い出しにくくなっている。この世界は変化が速く、セキュリティ対策の方を現状に順応させる必要がある。
―― 急速な変化に追い付くために、ITプロフェッショナルがすべきことは何か。
シュワルツ氏 職務内容に応じた包括的なモバイルセキュリティ研修を実施することが重要だ。その上で私物端末をはじめ、あらゆる端末で会社の資産を守るためになすべき対応を取る必要がある。企業にとって大切なのは、従業員に情報を提供し、最善のセキュリティ対策を講じるよう継続的に促し、対策は単純なものにとどめておくことだ。
われわれは誰もが自らの安全と安心に責任を負っている。危険な地区に住んでいるにもかかわらず、玄関も窓も施錠しない状態では、自分の身に何も起きないと想定することは難しい。インターネットは必ずしも友好的な場所ではないことを認識すべきだ。少なくとも犯罪者を招き入れて盗みを働かせることがあってはならない。
セキュリティチームは基準を設定してそれを監視、徹底しなければならない。セキュリティチーム自らがリスクについて知識の習得に努める必要がある。多くの場合、従業員が使うモバイル端末は規制できないし、基盤のOSも管理できない。モバイルアプリの多くは市販アプリであり、それらが基にしているセキュリティ原則は疑わしい。モバイル端末のためのセキュリティ戦略を継続的に検証する責任は、われわれ全てにある。
―― モバイルセキュリティに関して、IT部門が犯しがちな最大の過ちは。
シュワルツ氏 モバイルセキュリティをデスクトップセキュリティと同じように扱うと、多くの判断を誤ることになる。もう1つの過ちは、自分で何もかも制御できていると思い込んでしまうことだ。自分がやるべきことが分からなければ、重点を置くべき分野について真の専門知識を持つパートナーを見つける必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃から自社を守るだけでなく、取引を拡大するためにもセキュリティ対策の強化は必須の取り組みだ。その理由を確認しながら、セキュリティ対策の強化で特に重要とされる従業員教育について、必要性や実践法を解説する。
ある調査によるとDXに取り組んでいる中小企業は、2割にも満たないという。中小企業がDXを実現できない理由となっているのが、人材不足だ。しかし、人材不足の中でもDXを目指して取り組めることはある。それがペーパーレス化だ。
中小企業は、モバイルアプリケーションを活用することで顧客と密接な関係を構築したり、パートナー企業との関係を維持したりできる。モバイルアプリケーションが役立つ理由を7つ紹介する。
コロナ禍を経て、業務に必要な「ノートPC」の条件は変わった。どのような条件で選ぶことが望ましいのか。選定のポイントを解説する。
価格の低下で中堅・中小企業にとっても手の届きやすい存在になった「SAN」。「NAS」を使う中堅・中小企業が、SANへ移行する適切なタイミングを把握するために注視すべき「7つの兆候」とは。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
