技術的に可能な対策はあらかじめ打っておく
BYOD対応にあたり、どれだけ綿密にポリシーを策定し、ユーザーを教育し、技術的な実装を行ったとしても、デバイスを使うのが人間である以上、紛失や盗難、意図せぬ情報漏えいといったインシデントの発生を完全になくすことはできない。BYODへの対応を考える際には、避けられない「事故」が発生した時の対応までを視野に入れておく必要がある。
事故が発生した場合の報告義務や、その際の報告フロー、関係者が行うべき対応、罰則などについては、あらかじめポリシーとして定めておく必要がある。また、事前に技術的な対策が可能な部分については、その対策を行うことも含めてルール化し、ユーザーからの同意を得ておくといいだろう。
例えば、端末のGPSを利用して、その位置をネット上で確認できるサービスがある。また、ユーザーが紛失した端末を遠隔からロックして起動を不可能にする「リモートロック」、情報漏えいを避けるために端末内のデータを消去する「リモートワイプ」といったモバイルデバイス管理機能は、さまざまなデバイス向けに提供されている。BYODへの利用を許可する私物デバイスに対し、緊急の場合には、会社側の判断でこうした機能を利用できるよう、同意をとって準備しておくといった対策も可能だろう。また、「リモートロック」や「リモートワイプ」の強制が難しいのであれば、シンクライアントやセキュアブラウザーなどを導入し、端末内に重要なデータを残さない(ダウンロードさせない)ことで対応することもできるだろう。
重要なのは、事前に「BYODを認める範囲」を企業として明確に設定した上で、デバイスが社外にあることで想定されるリスクと、それへの対応方法を具体的に検討することだ。
技術的な実装は、ユーザーにそのルールを守らせ、不注意によるインシデントの発生リスクを最小化することを目指して行うべきである。こうしたルールは、企業のためだけでなく、賠償責任問題などから「従業員自身を守る」ためにも必要なものでもあることを理解してもらい、徹底を図りたい。
強固な認証とデバイス管理が可能な「NetAttest EPS」シリーズ
以前のコラムで、BYODへの対応を効率化するにあたり、まずはソリトンシステムズの認証アプライアンス製品「NetAttest EPS」で、社内に認証のための基盤を作っておくことを提案した。
NetAttest EPSは、アプライアンス形式で提供されているため、既存のネットワークに対して迅速に導入可能な点がメリットのひとつだ。国内での導入実績も多く(2012年台数ベースシェア55.1%でナンバーワン、富士キメラ総研調べ)、各社のVPN機器などとの相性についても安心できる。さらに、企業の状況に合わせて、必要なユーザーライセンスやセキュリティ機能を柔軟に追加していくことができる点も見逃せないポイントだ。
今回の本文では「OTP」による認証強化について触れたが、NetAttest EPSではオプションとしてOTP機能に対応している。全世界で8000万個以上のトークン販売実績があるVASCO製のパスワード生成アルゴリズムを採用しており、セキュリティ強度的には申し分ない。社外からのアクセスを認めるユーザーに対しては、ハードウェアトークンを使ったOTP認証を行うことにより、アクセスデバイスの紛失や盗難による情報漏えいリスクを大きく下げることが可能だ。
また、NetAttest EPSには、そのほかのオプションとして「NetAttest EPS-ap」と呼ばれるスマートデバイスソリューションも用意されている。これは本来、会社配布か、BYODかに関わらず、スマートデバイスに対するデジタル証明書の配付と、端末設定の自動適用をサポートする製品だ。また、NetAttest EPS-apでは、簡易的ではあるが、登録されたiOSデバイスに対するリモートワイプ・ロック機能も提供されている。
NetAttest EPSは「認証」機能をベースに、企業のBYOD対応における「現状把握」「BYOD導入」「デバイス展開」「運用」「拡張」といった各フェーズで必要なさまざまな機能が、標準およびオプションとして用意されている。導入の容易さに加えて、ぜひ将来的なシステムの展開までを見据えて、活用を検討してほしい。