会社支給のモバイル端末管理に有効なMDMって何?
~スマートフォンなどモバイル端末のセキュリティ対策~

モバイルダメ

会社から支給されているスマートフォンやタブレットであれば、社員は安全に使用していると考えていないだろうか?相当数の利用者がセキュリティポリシーを理解していなかったり、無視したりする現状が明らかになった。

 

■セキュリティポリシーを無視する社員は少なくない

会社支給のモバイル端末は比較的セキュリティが守られていると考える情報システム担当者は多いのではないだろうか。実際は、私的利用と同じように、十分なセキュリティ対策が行われていないのが現実だ。スマートフォンやタブレットなどのモバイル端末におけるセキュリティ対策の重要性は認められているものの、セキュリティポリシーが理解されていなかったり、一時的な利便性を優先してポリシーが破られたりしている。

モバイルセキュリティ製品を開発するルックアウト社は、日本企業で働く1000名を対象に、スマートフォン利用動向を調査した。会社支給端末を主に利用していると回答した利用者のうち、5.3%がジェイルブレイク、つまり、開発元が想定したソフトウェア実行環境を非正規に解除し、自由にアプリを導入できるようにしている。さらに、9.1%の利用者が非正規ルートからアプリをダウンロードした経験があった。

ジェイルブレイクや非正規ルートからのアプリ導入は、非常に危険な行為と見なされている。非正規アプリストアは厳格なアプリ検閲が存在しないため、悪意のあるアプリによって企業情報が不正に取得されたり、ウィルスに感染したりするリスクがあるのだ。

モバイル端末の企業利用においては「シャドーIT」の脅威が長らく叫ばれてきた。シャドーITとは、企業の情報システム部門が把握できない条件で従業員がモバイル端末を使用してしまう状況を指す。前述のジェイルブレイクのように、セキュリティポリシーを知らない、あるいは無視してしまう利用者のせいで、企業情報が危険にさらされるケースがある。

会社所有の端末を社内で使用する分には、情報システム部門の管理も容易だ。しかし、社外で使用する場合、その難易度は飛躍的に上がる。業務データを外部に持ち出すため、盗難・盗聴・のぞき見などのリスクも存在する。アカウントが盗まれることで、不正利用やなりすましによる被害も考えられる。

セキュリティポリシーの徹底は欠かせないが、ポリシーを厳格にする程にシャドーITが拡大してしまう点が、モバイル端末におけるセキュリティ対策の難しいところだ。例えば、盗難や不正利用のリスクを下げるため、パスワードを3か月ごとに異なるものに変更するよう強制したとしよう。パスワードの変更を面倒に思ったユーザーはパスワード設定を無効にしてしまう可能性もある。利用者が納得し、利便性を損なわないよう、適切なレベルのセキュリティポリシーが求められているのだ。

Pocket

コメント