ルールとツールで守る、スマートデバイスのセキュリティ：セキュリティ強化塾（1/5 ページ）

　すっかり生活にとけ込んだスマートフォンやタブレット。ビジネスでもその利便性を活用したいという思いは誰しもが抱くことだろう。その半面、企業側としては会社の情報資産の外部流出の原因になりはしないか、またポリシーに反した私的利用が業務や会社の評判に影響することがあるのではないかとの不安が拭えない場合も多いようだ。また従業員側からは、プライバシーが会社に監視されかねないことを危惧する声も聞こえてくる。

　今回は、セキュリティの観点からスマートデバイスの業務利用における不安のタネをなくすためのポイントを考えてみよう。

スマートデバイスの特徴とセキュリティ課題

　スマートデバイスは、PCと携帯電話に次ぐモバイルコンピューティングのための「第三のツール」として、業務利用を進める動きがここ数年盛んになってきた。BYOD（Bring Your Own Device）と呼ばれる個人所有端末の業務利用が注目される中、その対極であるCOBO（Corporate Owned Business Only）と呼ばれる企業所有の業務用スマートデバイスを業務用のみに使う動きや、COPE（Corporate Owned, Personally Enabled）と呼ばれる企業所有の業務用スマートデバイスを支給して個人利用を許可する動きも出てきている。

　その一方、スマートデバイスの業務利用にはリスクも伴う。例えばデバイス自身の特性から、次のようなリスクが指摘される（参考：日本スマートフォンセキュリティ協会「スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン」）。

　しかもリスクは機器だけにあるのではない。スマートデバイスはスタンドアロンでは機能を十分に生かせず、業務目的で利用するなら社内システムや外部サービスに接続する必要がある。そこで想定される脅威の例を図1に掲げる。こうした脅威により、情報漏えいなどのリスクを恐れて企業としてスマートデバイスの業務適用を認めることをためらうケースも少なくないようだ。

図1 利用可能なネットワークと想定される脅威（出典：アルプスシステムインテグレーション）

　上図を見ると、多くの脅威は従来のモバイルコンピューティングやインターネット利用全般に共通するものであると分かる。既にモバイルコンピューティングを推進してきた企業システムなら、ネットワークを介した脅威への対策はある程度進んでいるはずだが、問題はそのセキュリティ管理体制にスマートデバイスがすっぽりとはまらないことである。

　スマートデバイスのセキュリティを考えるときには、デバイスの特性によるリスク、アプリ利用にかかわるリスク、ネットワークにかかわるリスクの3要素を考えなければいけない。それぞれに、ツールを用いて安全性を高められるが、同時に社内規定を明確にし、利用状況の監視を行う体制づくりも必要になる。そのためには、まずスマートデバイスの特性と、利用にまつわるリスクを知ることが重要だ。以下では、BYODをはじめとするスマートデバイスの業務利用のために必要な知識を解説していく。

Copyright © ITmedia, Inc. All Rights Reserved.