ルールとツールで守る、スマートデバイスのセキュリティ：セキュリティ強化塾（1/5 ページ）

スマホやタブレットを業務で活用したい、でも私的利用が業務に影響しないか。業務利用における不安を減らすポイントを考えよう。

[キーマンズネット]

　すっかり生活にとけ込んだスマートフォンやタブレット。ビジネスでもその利便性を活用したいという思いは誰しもが抱くことだろう。その半面、企業側としては会社の情報資産の外部流出の原因になりはしないか、またポリシーに反した私的利用が業務や会社の評判に影響することがあるのではないかとの不安が拭えない場合も多いようだ。また従業員側からは、プライバシーが会社に監視されかねないことを危惧する声も聞こえてくる。

　今回は、セキュリティの観点からスマートデバイスの業務利用における不安のタネをなくすためのポイントを考えてみよう。

スマートデバイスの特徴とセキュリティ課題

　スマートデバイスは、PCと携帯電話に次ぐモバイルコンピューティングのための「第三のツール」として、業務利用を進める動きがここ数年盛んになってきた。BYOD（Bring Your Own Device）と呼ばれる個人所有端末の業務利用が注目される中、その対極であるCOBO（Corporate Owned Business Only）と呼ばれる企業所有の業務用スマートデバイスを業務用のみに使う動きや、COPE（Corporate Owned, Personally Enabled）と呼ばれる企業所有の業務用スマートデバイスを支給して個人利用を許可する動きも出てきている。

　その一方、スマートデバイスの業務利用にはリスクも伴う。例えばデバイス自身の特性から、次のようなリスクが指摘される（参考：日本スマートフォンセキュリティ協会「スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン」）。

1. 盗難、紛失：デバイス内情報の外部流出、各種サービスへのログイン情報の不正利用
2. SIMカードの盗難：電話番号や個体識別番号などの悪用
3. 水没、落下による故障：データ消失
4. のぞき見：情報漏えい
5. 誤操作、誤認識：タッチパネルの反応の特性などに起因する操作ミス
6. 脆弱（ぜいじゃく）性：OSの実装にばらつきがあり、パッチを適用しにくい
7. 信頼できないマーケット：ウイルス感染、アプリのデバイス機能へのアクセスの不用意な承認
8. 利用者による改造：iOSの脱獄（Jailbreak）、Android OSのroot化

　しかもリスクは機器だけにあるのではない。スマートデバイスはスタンドアロンでは機能を十分に生かせず、業務目的で利用するなら社内システムや外部サービスに接続する必要がある。そこで想定される脅威の例を図1に掲げる。こうした脅威により、情報漏えいなどのリスクを恐れて企業としてスマートデバイスの業務適用を認めることをためらうケースも少なくないようだ。

図1 利用可能なネットワークと想定される脅威（出典：アルプスシステムインテグレーション）

　上図を見ると、多くの脅威は従来のモバイルコンピューティングやインターネット利用全般に共通するものであると分かる。既にモバイルコンピューティングを推進してきた企業システムなら、ネットワークを介した脅威への対策はある程度進んでいるはずだが、問題はそのセキュリティ管理体制にスマートデバイスがすっぽりとはまらないことである。

　スマートデバイスのセキュリティを考えるときには、デバイスの特性によるリスク、アプリ利用にかかわるリスク、ネットワークにかかわるリスクの3要素を考えなければいけない。それぞれに、ツールを用いて安全性を高められるが、同時に社内規定を明確にし、利用状況の監視を行う体制づくりも必要になる。そのためには、まずスマートデバイスの特性と、利用にまつわるリスクを知ることが重要だ。以下では、BYODをはじめとするスマートデバイスの業務利用のために必要な知識を解説していく。