企業の4割、スマートフォンの紛失・盗難を経験:各ユーザーのセキュリティ意識の甘さが露呈に
モバイル端末のセキュリティポリシーを定めている企業が多いにもかかわらず、課題が絶えないのはなぜか。米McAfeeらが調査した企業のモバイル端末利用実態から、その原因が見えてきた。
企業のIT管理者には目下、「複数のスマートフォンプラットフォームへの対応」「効果の少ないセキュリティポリシー」「社内のネットワークには1つの端末からアクセスしたいというエンドユーザーの要望の高まり」などの課題が山積みだ。そうしたIT管理者にとって、スマートフォンの紛失・盗難は大きなセキュリティ脅威となっている。
米McAfeeが米カーネギーメロン大学の研究者らと共同でまとめた最新のスマートフォンセキュリティ調査報告によると、全体の4割の企業がモバイル端末の紛失あるいは盗難を経験していた。さらに、紛失や盗難にあった端末の半数には重要な業務データが保存されていたという。このリポートでは、英調査会社Vanson Bourneの協力の下、世界14カ国の1500人を対象に実施された調査の結果が概略されている(※関連記事:企業のモバイル依存が高まる――McAfeeが実態調査:ITmedia エンタープライズ)。
同調査では、モバイル端末の紛失を経験した企業の3分の1以上が金銭的な影響を被っていることが明らかになった。モバイル端末を紛失するリスクは、モバイルプラットフォームを狙ったマルウェアの脅威よりも深刻であるようだ。モバイルプラットフォームを狙った攻撃の増加が以前から予想されているにもかかわらず、これまでのところ、そうした攻撃はごくわずかだ。「セキュリティを無視した危険な行為やセキュリティ意識の低さが目立つ。そうしたことがモバイル端末を狙ったマルウェアよりも大きな脅威を投げ掛けている」とカーネギーメロン大学の研究者は指摘している。
さらに同調査では、エンドユーザーが自分の端末をロックするためのセキュリティ対策をほとんど行っていない実態も明らかとなった。自分の端末のデータのバックアップを週1回以上のペースで行っているユーザーは、全体の半数に満たなかった。またユーザーの約半数はパスワードやPINコード、クレジットカード情報をモバイル端末に保存しており、3人に1人は業務に関連する機密情報をスマートフォンに保存していることも明らかになった。
スマートフォンのセキュリティポリシーの難しさ
企業はモバイル端末向けのセキュリティポリシーを策定していないわけではない。だが調査では、自社のスマートフォン向けセキュリティポリシーの内容を理解している従業員は3人に1人以下にとどまった。大半の従業員は自分のモバイル端末のアクセス許可に気付いておらず、気付いている従業員は、自社のポリシーを「厳し過ぎる」と感じている。つまり企業は、「生産性に影響を及ぼさないこと」と「セキュリティポリシーを策定すること」の適正なバランスを取るのに苦労しているということのようだ。
「ポリシーの策定と実施が一筋縄ではいかないことが分かってきた」とこの調査報告には記されている。
さらにこのリポートは、複数のプラットフォームにわたってポリシーの監視と実施を行うためにスマートフォン管理ソフトウェアを用いることを奨励している。位置情報取得のためのジオロケーションデータ、リモートワイプ機能など、この種のソフトウェアに含まれる各種の機能には、「自分の端末に個人および業務に関わる機密情報が含まれていることを従業員に意識させる」という役割も期待できる。
「従業員は自社のセキュリティポリシーの内容とその理由を理解する必要がある。自分が会社の情報の管理人であり、自分自身の生活も、そうした情報をセキュアに保てるかどうかに懸かっているということを理解しなければならない」とリポートには記されている。
今後の課題
さらにこの調査リポートは企業に対し、モバイル端末のセキュリティ問題に対処するためには、セキュリティポリシーを十分に伝達し、スマートフォン上のデータに関する脅威をエンドユーザーに周知させることが必要だと呼び掛けている。「企業はスマートフォンにも、ノートPCやデスクトップPCと同様のセキュリティ対策と管理プロセスを適用すべきだ」とリポートには記されている。そのためには、まずデータを機密レベルに応じて分類し、アクセスと持ち運びに関して適切なセキュリティ対策を適用する必要がある。
「スマートフォンのファイルベースの暗号化はリムーバブルメディアにも有効だ」と指摘するのは、データ暗号化ベンダーである米Credant TechnologiesのCTO(最高技術責任者)、クリス・バーチェット氏だ。同氏によると、最近ではモバイル端末でWebベースのストレージリポジトリや社外のファイルシステムを利用するケースが増えており、ITセキュリティ担当者にとってはさらに大きな悩みの種になっているという。
「業務データを端末に移動させずに済むのであれば、それに越したことはない。結局のところ、コラボレーションやデータ共有のためのアクセス制御やキー管理が重要となる」とバーチェット氏。
リポートによると、セキュリティポリシーを適用する際には、企業にはうまくバランスを取ることが求められるという。
「従業員が所有する端末にはその企業の経営方針や労使関係も影響するため、ポリシーの策定に際しては、企業にはリスクを考慮した上での微妙なさじ加減が求められる。どのような方法が適切かは、業種や職務、状況によってもそれぞれ異なる」とリポートは指摘している。
スマートフォンセキュリティベンダーである米Mobile Active Defenseのウィン・シュバルタウ氏は先ごろ、米TechTargetの取材に応じ、「モバイル端末は企業における従来のセキュリティモデルを打ち壊しつつある」と語った。同氏によれば、最近は企業の幹部がIT部門に対し、モバイル端末を社内のネットワークと接続させることを求め、さらにはそうした異種プラットフォームのサポートまでをも迫るようになってきているという。
「こうした問題に対処するための制限的な措置は、企業レベルではまだ計画も実施もされていない」と同氏は語った。
Copyright © ITmedia, Inc. All Rights Reserved.