SOX法にも対応するビジネススマートフォンのセキュリティ：Wireless Enterprise Symposium 2008 Report

スマートフォンをビジネスで使う際の条件にセキュリティ対策を挙げる企業が多い。BlackBerryはIT統制に対応する仕組みを用意している。

[國谷武史，ITmedia]

　米国のビジネスシーンではスマートフォンの活用が注目を集めつつある。ビジネス向けとして展開されるResearch In Motion（RIM）のBlackBerryが北米市場で1000万強のユーザーを獲得し、コンシューマー市場から出発したAppleのiPhoneやMicrosoftのWindows Mobileもビジネスでの利用にも耐える環境を整備しつつある。

　スマートフォンを企業が導入する上で、日米を問わず最も重視されるのがセキュリティ対策だ。利用範囲が広がれば、紛失・盗難やマルウェアといったPCの世界の脅威がスマートフォンにも迫ることが予想され、さらにはIT統制の観点からシステムの管理を適切に行うことも求められるようになる。

400項目のセキュリティポリシーや暗号化、独自プロトコルなどでBlackBerryは強固に保護されているとトッツキー氏

　「ウイルスのようなモバイルに対する脅威はあまり知られていないが、ユーザーが広がれば攻撃の対象になるのは間違いない」――RIMグローバルセキュリティグループ担当のスコット・トッツキー副社長はこのように話し、BlackBerryのセキュリティ対策について説明する。

　BlackBerryでは、端末と企業内システムを接続するためのBlackBerry Enterprise Server（BES）間の通信に独自のプロトコルを用い、データ自体も強度の高い暗号技術を使用する。キャリア網とBESとの間も専用線サービスを利用でき、通信経路における盗聴や不正侵入を強固に防止するという。

　端末側では400以上のセキュリティポリシーの設定項目が用意され、パーソナルファイアウォールも搭載している。「仮にBlackBerryを狙ったマルウェアが出現しても、管理者権限でなければインストールできなくするポリシーの設定や、感染しても端末のアクセス権限を停止して拡散を防ぐなどの対策が取れる」（トッツキー氏）。紛失・盗難対策でも、遠隔操作での端末内データの消去や使用権限の停止といった手段が取れるようになっている。

　「BlackBerryにはユーザー環境に応じてできることが豊富に存在している」とトッツキーは話す。ほかのスマートフォンプラットフォームでは、サードパーティー製のシステムを利用するのが現状であり、Microsoftは年内にWindows Mobileのスマートフォンを集中管理できるシステムを投入する計画を表明している。

IT統制の波はモバイルにも

　日本ではいわゆる日本版SOX法に規定されたIT統制に対応するために、多くの企業がITインフラの整備や管理体制の強化に取り組んでいる。クライアント環境の整備にも着手した企業もあるが、社員のPC利用を適正化することが主流であり、スマートフォンのようなモバイル機器を含めるケースはわずかだろう。

　一方、米国ではIT統制におけるモバイル機器の管理も重要なテーマとして認知されつつあるという。「誰がいつどのような通信をしたのかという記録が監査項目に入る場合もある」（トッツキー氏）。BESでは、ユーザーの利用状況をログで残し、送信した電子メールをバックアップする機能を用意している。サードパーティーの中には、BESからログを収集・分析してリポーティングする機能を備えるソフトが提供され、ソリューションメニューの1つに組み入れられているという。

　しかしながら、社員のモバイル機器利用に対応が十分ではない企業も数多く存在する。トッツキー氏は、「まずはパスワードを設定して第三者が簡単に端末を利用できないようにする、アクセス管理を適切にして不正侵入に備えるといった基本的な対策からしっかりと始めるべきだろう」とアドバイスする。

　BlackBerryでの今後のセキュリティ対策の方向性について、トッツキー氏は「複雑なポリシーをIT部門やユーザーが強く意識することなく、効率的に運用していける仕組みを実現したい」と話している。