企業情報システムのセキュリティ対策を考えたとき、スマートフォン/タブレット端末の利用によるリスクが軽視できなくなっている。携帯電話とPCのリスクを併せ持つだけに、従来と異なる五つの「常識」が必要である。
米AppleのiPhone/iPadや米GoogleのAndroidを採用した端末など、スマートフォン/タブレット端末の企業導入が増え、セキュリティに注目が集まっている。2011年5月には「日本スマートフォンセキュリティフォーラム」が設立。9月6日時点の会員数(幹事会員、正会員)が107社に達した。
事務局長を務める西本逸郎氏(ラック 取締役 最高技術責任者)は「製品提供者側に加え、利用企業が参加したのが特徴」と語る。現在、トヨタ自動車を含む会員会社のメンバーが、スマートフォン/タブレット端末を業務利用する際のセキュリティガイドラインを作成中だ。9月7日にベータ版を公開、年内の完成を目指す。
スマートフォンやタブレット端末は「携帯電話付き小型PC」といえる。通話やデータ通信が幅広い場所でできる上、多数のアプリケーションを追加できる。ただしセキュリティリスクも携帯電話とPCの分を併せ持つ(図1)。
まず、携帯電話は常時携帯し、屋外で使うため、紛失・盗難に遭いやすい。スマートフォン/タブレット端末にも同じリスクがある。
また、PCではOSの技術仕様が公開されており、これを悪用して不正プログラムが作成される。スマートフォン/タブレット端末でも同様な背景から不正プログラムが作成されている。
リスクは多く対策は未成熟
一方、スマートフォン/タブレット端末のセキュリティ機能や対策ツールは未成熟だ。ジェーエムエーシステムズでセキュリティコンサルティングを手掛ける田中祥太氏(産業ソリューション事業部 ネットワーク・インテグレーションセンター マネジャー)は「スマートフォンは元来、消費者向け製品で、企業向けのセキュリティ機能は備えていない。PC向けほど対策ツールもそろっていない」と語る。
スマートフォン/タブレット端末を企業が導入する際には定番といえる対策ツールはある。MDM(Mobile Device Management)という端末の遠隔管理システムだ。アイキューブドシステムズがクラウドサービスとして提供する「CLOMO MDM」が草分けとして知られるが最近では通信事業者、セキュリティベンダーなど多数の会社も提供する。自社構築用のソフトウエア製品もある。
MDMを利用すると、企業は管理下の端末に対して、セキュリティの厳しい設定を適用したり、ネットワーク越しにデータを消去したりできる。
ただし、MDMが機能するのは、端末がネットワークに接続できる場合に限られる。また、MDMだけでは防げないリスクもある。現実には、追加対策ツールの組み合わせが必要になる。MDM自体の機能強化も進んでいるので、最新機能の利用も検討しよう。
具体的にどのような追加対策が必要になるのか、以下では「紛失・盗難」「不正プログラム」「人為的な漏洩」「不正アクセス・なりすまし」「システム情報の漏洩」といったセキュリティリスクへの対策の五つの常識をまとめる(図2)。セキュリティ対策では、利便性とのバランスも重要だ。別掲記事ではユーザー企業2社の例を基にバランスの勘所を紹介する。本特集では、企業がユーザーに端末を提供する場合を扱うが、別掲記事では私物の端末を企業が利用する場合にも触れる。