活用視点で考えるスマホやタブレットのセキュリティ対策

企業のモバイル導入で、まず懸念されるのがセキュリティ対策だ。対策を検討する段階で必要な視点をラック、NTTドコモ、日本ベリサインが解説した。

[ITmedia]

　企業でのモバイルセキュリティには活用視点が不可欠――日本ベリサインは10月18日、スマートフォンやタブレット端末の業務利用におけるセキュリティ対策をテーマに会合を開き、同社およびラック、NTTドコモがセキュリティ対策のポイントを解説した。

　まず、モバイルセキュリティの検討段階で何が重要か。ラック セキュリティ事業本部 エグゼクティブコンサルタントの加藤智巳氏は、モバイルの導入目的や効果などを明確にする必要性を挙げる。

　加藤氏によれば、モバイル導入が検討されるきっかけは、業務部門などが先行利用しているなどの場合が多い。一般的に企業がモバイルを導入する目的は、外出時や移動時などにオフィスではできない業務をモバイル端末でこなすことで、生産性や業務効率を高めるものである。

　だが検討が進むにつれて、業務部門と管理部門が連携すべきタイミングからそれが難しくなる。業務部門では生産性や業務効率の向上を重視するが、管理部門は企業としてのコントロールや管理ができることを重視しなければならないためだ。その結果、「モバイルを何のために利用し、それに必要な対応とは何か」が議論されない、もしくは不十分になってしまうという。

　この点について加藤氏は、「企業では日常的にビジネス上のリスクコントロールがなされている。モバイル導入も同じで、目的と用途が決まれば、それに伴うリスクの種類や対応方法も明確になる」とアドバイスする。導入目的や期待する効果がはっきりすれば、どのように使うかも決めやすい。その使い方に潜むリスクも洗い出しやすくなるだろう。リスクが分かれば必要な対策も分かる。

　また、講じられたセキュリティ対策の効果を恒常的に維持するために、モニタリングも不可欠となる。この点もモバイルに限るものではなく、セキュリティ対策全般に当てはまるもので、「何かおかしい点を検知できるようにする、そして、判断や分析、対応までのサイクルを回すことでリスクへの対応能力を高めていくべき」（加藤氏）とのことだ。

　ただモバイルならではの要素もあり、例えば、社員が業務時間中に携帯電話回線や公衆無線LANなどでインターネットに接続すると、企業側でネットワークのモニタリングが難しくなる。この場合、必要に応じて強制的に社内ネットワークを経由させるようにするといった工夫も必要になるという。

加藤氏が参加する日本ネットワークセキュリティ協会の「スマートフォン活用セキュリティガイドラインWG」が公開したガイドラインのβ版。正規版は「近いうちに公表したい」（加藤氏）とのことだ

ソリューション活用に必要な視点

　近年、企業がモバイルを活用する上でのセキュリティ対策ソリューションも広がりつつある。不正プログラム対策やWebセキュリティ、盗難・紛失対策、VPN、認証、暗号化、モバイルデバイス管理（MDM）など、PCと似たものも多い。

　NTTドコモ 法人事業本部 ソリューションビジネス部 フロントSE 第一担当の長谷川裕生氏は、「モバイル導入を検討する企業には、最初にスマーフォンを携帯電話よりPCに近い存在であることを説明する」と話す。

　企業のモバイル導入では総務部門が窓口になる場合も多い。これは、非常連絡手段として携帯電話の導入や管理を総務部門が担当しているケースが多かったことによる。だが、スマートフォンやタブレット端末がPCに近いものとなれば、PCに準じたセキュリティ対策が求められる。このために、上述の説明を先に行ってユーザーの意識改革を促すことに務めているという。

　同社では既に多数のモバイル導入案件を手掛けており、各種のセキュリティ対策機能を提供している。端末と社内の基幹業務システムで堅牢なセキュリティを必要とするなら、同社の携帯電話網から企業までを専用線で接続するなど、通信事業者ならではの対策も講じられるという。

　日本ベリサイン ISA製品本部 上席部長の坂尻浩孝氏は、「企業のシステムにアクセスする以上、だれが、どのデバイスで利用しているかを特定できるようにすることが肝心」と解説した。

　その方法の1つが電子証明書の活用だといい、その用途はアプリケーションやネットワークに対するアクセス認証やログイン認証、暗号化／復号化での確認、運用管理上の識別などと幅広い。同社では国内外の他社のセキュリティソリューションとも連携できるようにして、企業のモバイル活用を支援するという。