2016年03月24日 08時00分 公開
特集/連載

「iPhone」をパスワード未設定で放置させない方法包括的なモバイルセキュリティ研修が不可欠

モバイル端末のセキュリティを脅かす要素はあらゆる場所に存在する。従業員には自分の身を守る訓練をしてもらうことが大切だ。

[Eddie Lockhart,TechTarget]
iPhone 6s スマートフォンの普及が企業にもたらすセキュリティリスクは小さくない(TechTargetジャパン「徹底レビュー:『iPhone 6s』の突き抜けた進化、『3D Touch』の底知れぬ可能性とは」より)《クリックで拡大》

 IT部門にとってセキュリティの方程式を解くことは困難だ。モバイル端末の流入で、事態はさらに複雑化している。業務上重要なアプリケーションとデータが入ったモバイル端末はあらゆる場所に存在し、企業をかつてないほどのリスクにさらしている。たった1人のユーザーがパスワードを設定していないスマートフォンを放置しただけで、全社的な不正侵入事件に発展しかねない。

 本稿ではITガバナンスについて企業に助言する専門団体ISACA(情報システムコントロール協会)の役員、エディ・シュワルツ氏にインタビューし、現代のモバイルセキュリティを脅かすリスクについて語ってもらった。シュワルツ氏はデジタル広告市場のサイバーセキュリティを手掛けるWhite Opsの最高執行責任者(COO)だ。モバイルセキュリティ研修の重要性と、避けるべき重大な過ちについて解説する。

従業員の意識向上が不可欠

―― 現代のセキュリティを脅かす筆頭の脅威とは。

シュワルツ氏 従業員が自分のモバイル端末に適切なセキュリティ対策を講じていない状況がそれに当たる。パスワードを設定していなかったり、基本である4桁の暗証番号を使っていなかったりするモバイル端末が存在する。他人が触れることのできる場所にモバイル端末が放置されることもある。適切なセキュリティ設定と、モバイル端末に対する適切な行動について、従業員の意識を高めてもらう必要がある。

 犯罪者が「トロイの木馬」をはじめとするマルウェアのインストール方法を見つけ出し、従業員に正規の機能を提供しながら別のプロセスに介入することもあり得る。その被害はさまざまで、一部のOSではサービスやプロセスがインストールされ、端末のデータが盗まれたり消去されたりする。たとえマルウェアがインストールされないとしても、従業員の端末が突然自分で制御できない状況に陥ることもある。

 現在、世界の主要メーカーは半年から9カ月ごとに、同じスマートフォンの新しいバージョンをリリースしている。アプリは場合によっては数日ごとに自動で更新されるものもある。われわれはそうした更新の実際の内容を十部に理解できているわけではない。

 企業にとって、従業員が利用するIT製品を統制することは非常に難しい。例えば従業員に対して、Samsung Electronicsの「Galaxy S7」やAppleの「iPhone 6s」の利用を本当は許可していない、といったことを言い出しにくくなっている。この世界は変化が速く、セキュリティ対策の方を現状に順応させる必要がある。

―― 急速な変化に追い付くために、ITプロフェッショナルがすべきことは何か。

シュワルツ氏 職務内容に応じた包括的なモバイルセキュリティ研修を実施することが重要だ。その上で私物端末をはじめ、あらゆる端末で会社の資産を守るためになすべき対応を取る必要がある。企業にとって大切なのは、従業員に情報を提供し、最善のセキュリティ対策を講じるよう継続的に促し、対策は単純なものにとどめておくことだ。

 われわれは誰もが自らの安全と安心に責任を負っている。危険な地区に住んでいるにもかかわらず、玄関も窓も施錠しない状態では、自分の身に何も起きないと想定することは難しい。インターネットは必ずしも友好的な場所ではないことを認識すべきだ。少なくとも犯罪者を招き入れて盗みを働かせることがあってはならない。

 セキュリティチームは基準を設定してそれを監視、徹底しなければならない。セキュリティチーム自らがリスクについて知識の習得に努める必要がある。多くの場合、従業員が使うモバイル端末は規制できないし、基盤のOSも管理できない。モバイルアプリの多くは市販アプリであり、それらが基にしているセキュリティ原則は疑わしい。モバイル端末のためのセキュリティ戦略を継続的に検証する責任は、われわれ全てにある。

―― モバイルセキュリティに関して、IT部門が犯しがちな最大の過ちは。

シュワルツ氏 モバイルセキュリティをデスクトップセキュリティと同じように扱うと、多くの判断を誤ることになる。もう1つの過ちは、自分で何もかも制御できていると思い込んでしまうことだ。自分がやるべきことが分からなければ、重点を置くべき分野について真の専門知識を持つパートナーを見つける必要がある。



ITmedia マーケティング新着記事

news024.jpg

CEOと従業員の給与差「299倍」をどう考える?
今回は、米国の労働事情における想像を超える格差について取り上げます。

news153.jpg

日立ソリューションズが仮想イベントプラットフォームを提供開始
セミナーやショールームなどを仮想空間上に構築。

news030.jpg

経営にSDGsを取り入れるために必要な考え方とは? 眞鍋和博氏(北九州市立大学教授)と語る【前編】
企業がSDGsを推進するために何が必要なのか。北九州市立大学の眞鍋和博教授と語り合った。