「モバイルセキュリティポリシー」、これだけは外せない基本要素とは:「モバイルセキュリティポリシー」策定が企業を守る【中編】
いざ「モバイルセキュリティポリシー」を策定しても、必要な要素が網羅されていなければ意味がない。盛り込むべき要素6つのうち3つを紹介する。
企業活動において、スマートフォンをはじめとした従業員が使うモバイルデバイスに関するセキュリティ低下の懸念が高まっている。そのため、企業のIT部門はモバイルデバイスのセキュリティ要件を定義する「モバイルセキュリティポリシー」と、「BYOD」(Bring Your Own Device:私物端末の業務利用)のポリシーに注目している。昨今、企業のIT部門において、変化する脅威とITの進歩に合わせて、これらのポリシーを変更する傾向が見られる。
併せて読みたいお薦め記事
モバイルデバイス管理関連の注目記事
- iPhone、iPad管理が楽に Appleが追加した「MDM」の“ありがたい機能”とは
- いまさら聞けない「BYOD」とは? 併せて知りたい「CYOD」とは? 両者の違いは
- 本当は怖いテザリング リスクと対策は
モバイルセキュリティポリシーの概要を解説した前編「企業が『モバイルセキュリティポリシー』を軽視してはいけない法的理由」に続いて、中編となる本稿は、企業がモバイルセキュリティとBYODのポリシー策定時に押さえるべきポイントを紹介する。
企業がモバイルデバイスに関するポリシーを策定する際は、次の要素を含めることが望ましい。
- モバイルセキュリティポリシー
- BYOD、「CYOD」(Choose Your Own Device:従業員による会社支給端末の選択)、「COPE」(Company Owned, Personally Enabled:会社支給端末の私的利用許可)、「COBO」(Company Owned, Business Only:会社支給端末の私的利用禁止)の運用ポリシー
- モバイルデバイスの利用規定
モバイルセキュリティとBYODの具体的なポリシーは?
モバイルセキュリティとBYODのポリシーに含めるべき要素は、各企業の要件とモバイルデバイスのセキュリティ戦略に基づいて異なる場合がある。一般的なBYODポリシーは、以下の6つの要素を含む。以降で詳細を解説する。
- ポリシーの簡単な紹介
- 企業が許容するモバイルデバイスの使い方
- セキュリティ要件
- 利用できるモバイルデバイスの種類とITサポート(後編で解説)
- 免責事項および従業員が負う責任(後編で解説)
- 企業所有のモバイルデバイスを使う場合の注意点(後編で解説)
要素1.ポリシーの簡単な紹介
ポリシーの目的やポリシーの対象となるモバイルデバイス、ポリシーの要件を満たさなかった場合の対処を記載する。
例:「当社は、従業員に個人のスマートフォンやその他のモバイルデバイスを職場や仕事の目的で購入または使用する機会を与える。当社は、従業員がモバイルデバイス利用の手順とポリシーに違反した場合、職場および仕事関連の活動のために個人用デバイスを使用する特権を取り消す権利を留保します」
要素2.企業が許容するモバイルデバイスの使い方
従業員がモバイルデバイスを使用してネットワークに接続したり、企業が保有するデータにアクセスしたりするときなどに、従業員が取るべき行動を説明する。次のような内容が含まれる。
- 従業員は業務に関するデータにアクセスするときに、アクセスに使うアプリケーションを常に最新の状態に保つ
- モバイルデバイスは、解除時にパスコードを要求する画面ロック、データの暗号化などの基本的なセキュリティ機能を使用する
- 従業員は、違法と見なされるWebサイトやコンテンツにアクセスしてはならない
- 従業員は、車の運転中や機械の操作中に、モバイルデバイスを利用してはならない。またこれらの作業中に、企業ネットワークにおいてコンテンツを共有してはならない
要素3.セキュリティ要件
企業がアプリケーションとデータを適切に保護できるように、モバイルアプリケーション管理ツールに関する要件を含める。モバイルデバイスを仕事関連の活動に使用したり、他社とデータをやりとりしたりするためにIT部門が必要とするセキュリティ構成についても説明する。次のような具体例がある。
- IT部門は、従業員がモバイルデバイスのファームウェアとOSを最新の状態に保ち、モバイルデバイスにマルウェア対策を採用していることを確認する
- IT部門は従業員に対し、適切な文字数で構成される強力なパスワードをモバイルデバイスに設定するよう要求する
- IT部門は従業員に対し、企業が保有するデータへアクセスするモバイルデバイスに、違法または海賊版のソフトウェアをインストールすることを禁止する
後編は、モバイルセキュリティポリシーとBYODポリシーを策定する際に盛り込むべき要素のうち残りの3つを紹介する。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノ
ウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.