企業データの多くがモバイル機器上に保存されるようになり、IT部門はセキュリティ上の新たな懸念に直面するようになってきた。そこで本記事では、モバイル機器のセキュリティモデルを構築していくうえで考慮すべき事項について解説している。
企業データが電子メールやクラウドベースのアプリケーションを介してモバイル機器上に取り込まれるようになってきている。これに伴ってデータ保護の重要性が一段と高まってきているものの、従来からあるセキュリティモデルはモバイル機器に適用することができない。モバイル機器の場合、IT部門はエンドユーザーの同意を得ることなくアップグレードを行ったり、アプリケーションやプログラムのインストールを行うことができないため、IT部門主導による管理が不可能となるわけである。このため、モバイル機器に適用できるセキュリティモデルとは、命令や統制に基づいたものではなく、可視性や、問題の軽減に基づいたものとなる。本記事では、世界各地の大企業とともに仕事を行ってきた経験のある筆者が、モバイル機器のデータをセキュアにするためのティップスを紹介している。
#1:可視性を保証する
iPhoneやiPadといった新たな機器で電子メールを送受信したいという要望が最高経営責任者(CEO)から寄せられることも多いはずだ。こういった要望を受けた場合、Windowsサーバ側ではActiveSyncを有効化することになるものの、それによって誰でも社内ネットワークにアクセスできるようになってしまうという問題が発生する。モバイル機器のセキュリティや統制に関する機能は、そのモバイル機器のプラットフォームによってさまざまであるため、セキュリティ強化に向けた最初のステップは、自社のネットワークに誰がどのような機器を用いてアクセスしているのかを把握することとなる。その後、ハードウェアのタイプやOSのバージョン、規則に対する遵守状況に基づいてアクセス可否を決定するようなアクセス制御ポリシーを作成するわけである。ActiveSyncは基本的な統制を行ううえでの素晴らしいテクノロジとなるものの、ネットワークのセキュリティを保証するためには、適切なツールで補完することも重要となるのである。
#2:基本的なことを確実に行えるようにしておく
評価対象となっているモバイル機器の管理やセキュリティに関するテクノロジは、中核として以下のようなモバイルセキュリティ機能を備えていなければならない。
- 遠隔操作による機器のロックとデータの消去
- パスワードポリシーの設定
- 暗号化の監視
- ジェイルブレイクやルートの検出
- 特定のアプリケーション(例えばパスワード偽装アプリケーション)やアダルトコンテンツへのアクセスを拒否するなどの、機器に対する機能制限
なお、これらの項目は備えておくべき最低限の要件であるということに留意してもらいたい。
#3:明確なポリシーを作成し、従業員に伝えておく
今日では、多くの企業が従業員の私物である機器の使用を認めるべきかどうかについて悩んでいる。携帯電話が会社所有のものであるか、従業員の私物であるかに関係なく、最終的には企業データと個人データの双方がその機器に格納されるようになるのである。このため、従業員に対してデータセキュリティに関するポリシーをしっかり伝えるとともに、その内容を簡単に閲覧できる状態に保っておくよう徹底するべきである。ここであなたが決断を下す必要のあることは、大きく分けて2つある。1つ目は、個人のデータと企業のデータに対する取り扱い方法だ。例えば、どういったデータ(SMSデータなど)を企業サーバ上に格納、あるいはアーカイブするのだろうか?従業員がポリシーに違反した場合、どのようなデータを消去や削除の対象とするのだろうか?2つ目は、プライバシーと、誰が何を閲覧できるのかについてである。なお、ポリシーの内容にかかわらず、考慮すべき最も重要な要素は透明性である。企業データに関するセキュリティポリシーやプライバシーポリシーは、従業員が容易に確認できるようにしておかなければならない。彼らはIT部門が何を追跡し、監視し、アーカイブしているのかについて正しく認識しておくべきなのである。これにより、彼らは自らの機器をどのように使用するのかについて適切な決断を下せるようになるというわけだ。
