スマホやタブレットの仕事利用はどこまで安全にできるのか：モバイルとセキュリティのエキスパートに質問

企業のモバイル導入が話題だ。「スマホやタブレットを駆使したい！　でも、やっぱりセキュリティが心配……」。そんな不安を抱く企業も少なくないという。モバイルセキュリティの今、そして未来はどうなるか。日本ベリサイン、NTTドコモ、ラックのエキスパートに聞く。

[PR／ITmedia]

PR

　企業のモバイル導入が注目を集める昨今、セキュリティに不安を感じる企業は多い。スマートフォンを狙うマルウェアが急増し、端末を紛失すれば情報漏えい事故になるかもしれない。「やっぱりモバイル導入は時期早々だ」というのが、情報システム担当者のホンネだろう。モバイルのビジネス活用は危険なのか、どうすれば安全になるのか――モバイルセキュリティの最前線に立つラック、NTTドコモ、日本ベリサインのエキスパートに聞いた。

「便利」と「安全」がジレンマ起きる理由

　例えば、コンペでライバルが話題のスマホを取り出し、顧客にプレゼンする。そのシーンを見た営業部では担当者が次々と従来の携帯電話（フィーチャーフォン）をスマートフォンに機種変更をして使い出す。その数が増えれば増えるほど、会社として管理しなければならず、総務部や情報システム部が「待った」をかける。業務現場でモバイル活用が始まってから、ようやくセキュリティや管理方法などが議論されるようになり、活用側と管理側との間で、モバイルをめぐる駆け引きが繰り広げられてしまう。

ラック セキュリティ事業本部 エグゼクティブコンサルタント 加藤智巳氏

　その背景には、活用側と管理側の双方に問題が潜む。業務部門がモバイル活用を希望するのは、主に業務の効率化や生産性の向上だが、中には「モバイルを駆使する姿が格好いい」という理由で広まるケースがある。一方、管理側ではフィーチャーフォンの導入や管理の担当が総務部門だった場合、スマートフォンやタブレットを使うことで新たにどのような問題が起きるかを把握できないことがある。後から情報システム部も加わって管理強化に乗り出しても、今度は業務部門から「それでは使いづらくなる」とクレームが起きる。

　ラック セキュリティ事業本部 エグゼクティブコンサルタントの加藤智巳氏は、「ビジネスでは利益確保という目標を達成するうえで障害になるリスクの洗い出しと対策、つまり、リスクコントロールが行われます。モバイル活用も同じ。利用目的が明確になれば、そこにどんなセキュリティリスクがあり、どう対処すべきかが明確になるでしょう。そうした上で恒常的にリスクをモニタリングしていくことが大切です」と話す。

　だが中には、端末の紛失などセキュリティ事故が実際に起きてからようやくモバイルのセキュリティ対策を考える企業も少なくない。加藤氏がアドバイスするように、導入以前に目的に基づいた対策が講じられていれば、リスクを軽減できる可能性が高いはずだ。「モバイル活用を始めてから対策を考える企業もありますが、それはリスク管理がきちんとできている場合。何か起きてからでは遅いので、それなら最初から対策を考えるべきです」（加藤氏）

NTTドコモ 法人事業部 ソリューションビジネス部 フロントSE 長谷川裕生氏

　NTTドコモ 法人事業部 ソリューションビジネス部 フロントSEの長谷川裕生氏によると、モバイル活用に必要なセキュリティ対策を考える企業では導入の検討段階から総務部門や情報システム部門がプロジェクトに参加して議論を重ねている。モバイルから業務システムを利用する場合、それが非常に機密性の高いデータを取り扱うケースなら、ドコモ側と企業側を専用回線で接続し、端末から企業内システムまでの通信経路のセキュリティを強固にすることが必要だ。

　プロジェクトの窓口が総務部門などの場合ではセキュリティリスクに対して漠然とした不安を抱えていることも多い。「まずはスマートフォンがフィーチャーフォンよりもPCに近いという事を理解いただくところから入ります」（長谷川氏）。NTTドコモでは法人ユーザー向けにモバイルマルウェア対策や盗難紛失対策、端末管理（MDM）、上述のドコモと企業を専用回線で接続する「ビジネスmoperaアクセスプロ／プレミアム」を利用したイントラネット接続やインターネットVPN接続を提案している。

　同社はモバイル活用に必要なシステム構築案件も多数手掛けており、「お客様の要望に応じてソリューションやセキュリティ対策をご提案しています」（長谷川氏）という。モバイルセキュリティに不安を抱えていた企業でもこうした支援を通じて、安心してモバイル活用ができるとのことだ。

モバイルセキュリティのポイントは「認証」

　ビジネスシーンでのモバイル活用を支えるセキュリティ対策は、さまざまなものが既に提供されている。ただしこうした対策を適切に利用するためには、ユーザーが誰かを正しく特定する必要がある。それに不可欠なのが「認証」だ。

　加藤氏は、「認証とは鈴を付けるようなものです。モバイルを管理するにはデバイスは何か、ユーザーが誰かを特定しなければなりません。リスクモニタリングでも、『危険だ』と検知したのがどの端末か、本来アクセスしているユーザーと違わないかなどを知るためにも不可欠です」と解説する。

日本ベリサイン IAS製品本部 上席部長 坂尻浩孝氏

　電子証明書を利用した認証ソリューションを手掛ける日本ベリサイン IAS製品本部 上席部長の坂尻浩孝氏によれば、電子証明書はモバイルデバイスから企業ネットワークへのリモートアクセス、メールサービスなどの業務システムの利用、MDMでの端末の識別など幅広いシーンで利用が想定される。

　「当社としては企業に接続する端末をきちんと特定すること、企業が許可している端末であり、セキュリティが確保されている端末だと保証できることに注目してソリューションを提供しています」（坂尻氏）

　認証では固定のIDやパスワードを使う場合が多いものの、企業がユーザーに配布する電子証明書を併用することで、より確実にユーザーや端末を識別できるようになる。「これまでにもPCからVPN経由でのリモートアクセスなどで数多くの電子証明書が利用されており、モバイルでも利用されるようになれば活用シーンがさらに広がるでしょう」（坂尻氏）とのことだ。

　電子証明書を利用する場合には、証明書の発行、配布、運用管理、有効期限前の更新、不要な証明書の失効までのライフサイクルを管理することが必要になってくる。これら電子証明書のライフサイクルを管理するプロセスを自社で運用する場合には想定以上の社内負担がかかるが、クラウド型サービスを活用することにより、そうした負担を解消することができる。

　また、多数のモバイル端末に電子証明書を配布する手間も心配されるが、MDMサービスと連携することにより、モバイル端末と電子証明書のライフサイクルを一元的に管理・運用することができる。例えば、日本ベリサインでは従来提供している「ベリサイン MDM powered by CLOMO」だけではなく、国内外の主要MDMベンダーとベリサインのマネージドPKIサービスを連携することによって、さまざまなMDMサービスを通じて電子証明書の発効、ネットワーク経由での端末への配布、失効などの作業をできるようにしている。

セキュリティの不安は誤解？

　モバイル導入の際にセキュリティの観点からもう1つ話題になるのが、Apple iOSか、Google Androidかという選択だ。コンシューマー市場では「iOSは自由度の幅が少ないがセキュリティが堅牢だ」「Androidは自由度の幅が広いだけにマルウェアなどのリスクが高い」といったイメージが強い。

　だが、こうしたイメージは正しくないと加藤氏は指摘する。そもそもスマートフォンやタブレット端末は、数年前に登場したばかりの全く新しいタイプのデバイスだ。iOSは当初からある程度のセキュリティを意識した設計だ。その代わりに自由度に制限があるものの、良質なアプリケーションを提供することで、スマートフォンやタブレット端末の市場の立ち上げに貢献してきた。一方、Androidはその自由度を最大限に利用し、端末の利用目的や環境に合わせた、より高度なセキュリティをもって展開していくことだろう。

　市場の立ち上がりと同時にセキュリティの重要性が高まってきた状況で、iOSとAndroidの両社に差があるように見えるが、企業戦略が異なるだけで、それぞれセキュリティを「重んじる」または「軽んじる」ということではないというのが加藤氏の見方だ。

　実際に、Androidではこの1年間に発売された端末の多くが採用している「Android 4.0」以降のOSで端末内のデータ保存領域の暗号化を標準機能として備えている。メーカーによっては、より強度の高い暗号アルゴリズムを選択したり、生態認証やICカード認証を利用したりできるものも多い。現在では通信事業者などが提供するマルウェア対策などのサービスや日本ベリサインの電子証明書サービスなどと組み合わせることで、端末のセキュリティレベルを高めることができるようになっている。

　ここまでみてきたように、漠然と「ビジネスでのモバイル活用は危険」と考えることは、既に認識がずれているといえよう。各社のエキスパートが解説するように、利用目的や利用形態を明確にすれば、それに応じた危険性とその対策も明確にできる。そして、講じたセキュリティ対策が常に機能するようにきちんと運用していくことも大切。これはPC活用の歴史でも同じように行われてきたことだろう。

　「モバイルに限らず、いつの時代でも利便性とリスクのバランスをどう取るかという視点が必ず必要になります」と加藤氏。また坂尻氏は、「モバイルの世界は日進月歩。セキュリティもそれに応じて進化していくので、安心して活用していけます」と話す。自社の業務環境をより良いものにしていくためにも、エキスパート各氏のアドバイスを参考にしながら、モバイル活用を検討してはいかがだろうか。