「iPhone」をパスワード未設定で放置させない方法：包括的なモバイルセキュリティ研修が不可欠

モバイル端末のセキュリティを脅かす要素はあらゆる場所に存在する。従業員には自分の身を守る訓練をしてもらうことが大切だ。

≫ 2016年03月24日 08時00分公開

併せて読みたいお勧め記事

Apple vs. FBI

モバイルデバイスのコンプライアンスに苦心するIT管理者

従業員の意識向上が不可欠

――　現代のセキュリティを脅かす筆頭の脅威とは。

シュワルツ氏　従業員が自分のモバイル端末に適切なセキュリティ対策を講じていない状況がそれに当たる。パスワードを設定していなかったり、基本である4桁の暗証番号を使っていなかったりするモバイル端末が存在する。他人が触れることのできる場所にモバイル端末が放置されることもある。適切なセキュリティ設定と、モバイル端末に対する適切な行動について、従業員の意識を高めてもらう必要がある。

　犯罪者が「トロイの木馬」をはじめとするマルウェアのインストール方法を見つけ出し、従業員に正規の機能を提供しながら別のプロセスに介入することもあり得る。その被害はさまざまで、一部のOSではサービスやプロセスがインストールされ、端末のデータが盗まれたり消去されたりする。たとえマルウェアがインストールされないとしても、従業員の端末が突然自分で制御できない状況に陥ることもある。

　現在、世界の主要メーカーは半年から9カ月ごとに、同じスマートフォンの新しいバージョンをリリースしている。アプリは場合によっては数日ごとに自動で更新されるものもある。われわれはそうした更新の実際の内容を十部に理解できているわけではない。

　企業にとって、従業員が利用するIT製品を統制することは非常に難しい。例えば従業員に対して、Samsung Electronicsの「Galaxy S7」やAppleの「iPhone 6s」の利用を本当は許可していない、といったことを言い出しにくくなっている。この世界は変化が速く、セキュリティ対策の方を現状に順応させる必要がある。

――　急速な変化に追い付くために、ITプロフェッショナルがすべきことは何か。

シュワルツ氏　職務内容に応じた包括的なモバイルセキュリティ研修を実施することが重要だ。その上で私物端末をはじめ、あらゆる端末で会社の資産を守るためになすべき対応を取る必要がある。企業にとって大切なのは、従業員に情報を提供し、最善のセキュリティ対策を講じるよう継続的に促し、対策は単純なものにとどめておくことだ。

　われわれは誰もが自らの安全と安心に責任を負っている。危険な地区に住んでいるにもかかわらず、玄関も窓も施錠しない状態では、自分の身に何も起きないと想定することは難しい。インターネットは必ずしも友好的な場所ではないことを認識すべきだ。少なくとも犯罪者を招き入れて盗みを働かせることがあってはならない。

　セキュリティチームは基準を設定してそれを監視、徹底しなければならない。セキュリティチーム自らがリスクについて知識の習得に努める必要がある。多くの場合、従業員が使うモバイル端末は規制できないし、基盤のOSも管理できない。モバイルアプリの多くは市販アプリであり、それらが基にしているセキュリティ原則は疑わしい。モバイル端末のためのセキュリティ戦略を継続的に検証する責任は、われわれ全てにある。

――　モバイルセキュリティに関して、IT部門が犯しがちな最大の過ちは。

シュワルツ氏　モバイルセキュリティをデスクトップセキュリティと同じように扱うと、多くの判断を誤ることになる。もう1つの過ちは、自分で何もかも制御できていると思い込んでしまうことだ。自分がやるべきことが分からなければ、重点を置くべき分野について真の専門知識を持つパートナーを見つける必要がある。

TechTargetジャパントップ中堅・中小企業とIT