> > 企業がモバイルセキュリティ戦略を導入しなければならない理由とは

RSSフィード

企業がモバイルセキュリティ戦略を導入しなければならない理由とは

企業の 99% は従業員が何らかの形でモバイルを使って仕事をしている

294443237.jpg最近では、企業の従業員などが個人で所有する携帯端末で業務をこなす BYOD(Bring Your Own Device)も珍しくはなくなりました。広く普及した BYOD のトレンドですが、便利な反面、セキュリティ上のリスクも数多くあります。

IBM は、「モバイルは企業に変革をもたらすのか、もたらしているとすればそれはどのような変革なのか、そして企業はどのようにセキュリティをモバイル構想に組み込んでいるのかを明らかにする」調査を実施しました。調査を要約すると、組織で個人のモバイルデバイスを使うのはもはや当たり前すぎて、これが企業の生産性向上にかなり大きく貢献しているため、モバイルのセキュリティが想像以上に大きな問題であることが軽視されがちになっている、という結果でした。

業務環境へのモバイル導入で企業が失敗しないためには、絶対に忘れてはならないことがあります。それは、モバイルデバイスを巡るさまざまなリスクを理解しておくことと、モバイルに特化したセキュリティ戦略を導入することです。

モバイルの採用時は慎重に

組織が所有するデバイスに加えて従業員が所有するデバイスをサポートすることは可能です。ただ、モバイルデバイスについては、会社が正式に認めるデバイスとは違って、普通は会社の IT 部門によるサポートがありません。これが何を意味するかというと、個人のモバイルデバイスが会社のネットワークに接続したり、会社のデータを利用したりする場合、組織にとって、それらのデバイスがセキュリティ上の脅威となりうるということです。

ネットワークに対するリスク

どのようなモバイルデバイスでも企業ネットワークの一部となる可能性があります。従業員が所有者ですから、そのデバイスが社内に置かれたままということはありません。したがって、盗まれたり、紛失したり、最悪の場合はハッキングに遭ったりする可能性が高くなります。ポネモンインスティテュート(Ponemon Institute)が実施した調査によると、「回答者の 3 分の 2 は、自分が所有するモバイルデバイスで会社のリソースにアクセスした結果、データの漏えいが発生したと答えている」そうです。

法的リスクや個人情報リスク、運用上のリスクが高まっている金融サービスや健康医療といった業種では、ネットワークとモバイルのセキュリティがいっそう重要です。保護されていないネットワークや、セキュリティがおろそかなままそこに接続するモバイルデバイスは、不正アクセスされてしまう可能性があることを企業は認識しなければなりません。

デバイスに対するリスク

デバイスの欠陥はとにかく頻繁に見つかるため、まるで毎週のように新しい脆弱性に対応するパッチが提供されています。これまでモバイル環境のセキュリティといえば、iOS よりも Android デバイスの方が大きく注目されてきました。ところが、米国の全国脆弱性データベース(National Vulnerability Database)によれば、これにも変化が表れています。2015 年だけでも、Apple iOS の脆弱性は 375 件ありました。

いかなる組織であっても、こういった脆弱性から自らを守るためにモバイル関連のルールを設定しておかないと、個人のモバイルデバイスから機密データが漏れてしまうリスクを抱え込むことになります。

アプリに対するリスク

SC Magazine によれば、Web アプリケーションに対するサイバー攻撃が増えています。残念ながら、アプリ開発者に割り当てられるセキュリティ予算は依然として少ないままです。そして、モバイルアプリといえば、エンドユーザーが企業システムにアクセスするのに、あまたの選択肢が存在します。結果として、これらのアプリ(Dropbox、OneDrive、Google Drive、SugarSync など)にリンクされたあらゆる企業データが、不注意による紛失や計画的な盗難に遭うなどのリスクにさらされる可能性が出てきます。

英国の Information Age 誌は記事の中で、安全でないアプリに対する保護を企業が強化するには、「使えるようにしたいデータとアプリケーションのプラットフォームを明確に決めて、承認済みのアプリからしかアクセスできないようにすべき」であると提案しています。

企業がモバイルのセキュリティ戦略を導入しなければならない理由

企業は従業員にモバイルデバイスを使うことを許可しつつ、データの漏えいや企業のファイルおよびデータの消失といったリスクを減らすことができます。あらゆる企業が、基幹ネットワークに接続するモバイルデバイスを巡る基本的な管理を徹底する必要があります。モバイル戦略を導入するときは、以下を検討してください。

  • システムのストレージファイルに格納される仕事のメールや添付など、デバイス上の企業コンテンツを保護する。 ― DigiCert をご利用のお客様であれば、クライアント証明書を認証サーバーと組み合わせて使うことで、特定の個人またはユーザーをデジタルベースで識別できます。
  • モバイルデバイス管理(MDM:Mobile Device Management)を使用する。 ― MDM を使えば、スマートフォンやタブレットといったモバイルデバイスを集中管理できます。また、MDM でデバイスが脱獄端末でないことを確認したり、スマートフォンやタブレットが盗まれた場合に遠隔操作で端末に格納されているデータを消去したりできます。
  • 悪意のあるアプリケーションから会社のデータを保護する。 ― メールアプリからカレンダーアプリに至るまで、あらゆるアプリが安全であることを確認しなければなりません。アプリは信頼できる場所からのインストールしか認めないようにし、モバイルデバイスは完全に暗号化します。SSL/TLS 証明書を使えば、ユーザー間でやり取りされる機密性の高い情報を暗号化できます。また、ユーザーがモバイルデバイスにインストールする企業アプリケーションを MDM で管理できます。そうすれば、ユーザーは適正にライセンスされたバージョンのアプリのみを使うことになり、脆弱性を修正するパッチソフトがリリースされた場合にはアップグレードをプッシュできます。
  • モバイル認証、ネットワークへのアクセス時間の記録、脱獄デバイスからのネットワーク接続の制限を徹底する。 ― 多要素認証(MFA:Multi-Factor Authentication)を使用すると、セキュリティを一段と厳しくできます。従業員が社外にいるときは VPN の使用を必須とすることで、安全性が低いネットワークを介した接続を暗号化します。

企業活動においてはいっそうの機動性が求められています。しかしながら、モバイルが普及すれば、セキュリティに対する脅威も高まります。このオンラインの世界で新しいプラットフォームや手法を採用するときは、それによって生じるリスクのことを常に先回りして考えておく必要があります。強固なモバイルセキュリティ戦略を導入し、決して脅威を軽視することなく、サイバー犯罪者の二歩先を行くように努めましょう。

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: Why Enterprises Must Implement Mobile Security - [2016 年 5 月 24 日投稿]