スマートフォンの業務利用におけるセキュリティ対策
「スマートフォンとクラウドの進化が私たちのIT環境を大きく変えている」。「どこでも、どの端末でも、同一の環境を」というコンセプトがクラウドという文化であり、それを実現する端末の潮流がスマートフォンなのだ」。ただ、「システム管理者の中には、従来の会社が貸与するパソコンと同じようにスマートフォンを管理できると考えている人も多い。しかし、パソコンよりも紛失しやすいスマートフォンは、紛失・盗難による情報漏えいというリスクがとても高いので十分な注意が必要だ」――
本書「スマートフォンの業務利用におけるセキュリティ対策」は、セキュリティに関するさまざまな客観データを基に、「スマートフォンのセキュリティを守るにはどのようなセキュリティポリシーを組むべきなのか」、あらゆる方策を紹介した作品である。特に「情報漏えいの94.5%は人的ミスである」「運用ルールだけではリスクは減らせない」「いちばん危険なのはアドレス帳のデータだ」「会社が貸与する端末の方が紛失しやすい」といった「システム管理者がこれまで思っていた常識とは異なる部分」にフォーカスしている点が特徴だ。
例えば、情報漏えいについては、そのほとんどが「社員による情報漏えいの意図のないミス」であり、「事故を起こした社員もまた被害者と言える」と指摘。「損害が大きければ本人の将来にも影響を与えてしまう」ため、入念な施策が不可欠ではあるが、ウイルス対策ソフトの導入や、データ暗号化、リモートロックといった施策だけに注目してしまうと「コストだけかけて、守るべきセキュリティレベルはほとんど変わらないということにもなりかねない」。よって、「自分たちの組織で回避すべきリスク」は何かをまず考えた上で、「端末を紛失しても情報漏えい事故にならない」「運用ルールを破っても情報漏えいが発生しない」ための、事故を根本から解決する対策立案が重要だと訴えている。
スマートフォンと相性の良いクラウドサービスを利用する際のセキュリティ対策も挙げている。特に、自分で管理しているシステムの場合、ファイアウォールの設定やセキュリティパッチの運用などの施策を当然のこととして行うが、クラウドサービスを利用すると「セキュリティの問題がなくなったと勘違いしてしまう人が多い」。だが、2011年4月にクロスサイトスクリプティングの脆弱性が発見されたEvernoteの例もあるように、クラウドサービス事業者のセキュリティ対策にまったく配慮しないのも間違っている。
そこで、「ユーザーはクラウドサービスのセキュリティ体制を直接知ることはできない」ものの、「ベンダがISMSのような第三者基準の運用ルールを満たしているかどうか」をチェックしたり、「セキュリティ問題が発生した場合の賠償契約を結ぶ」など、セキュリティ要件をきちんと担保するよう促している。
このほか「iOS端末の暗号化の問題点」「リモートワイプの限界」、3要素認証を使った「ユーザー認証を安全に行う方法」など、スマートフォンのメリットを安全に享受するための施策を極めて具体的に紹介。特に、セキュリティポリシーを策定する上で、ドイツの心理学者であるデートリッヒ・デルナーが提唱した「誤りを犯しやすい人/犯しにくい人の行動パターン比較分析」を紹介するなど、単なるマニュアルに陥らず、自社独自のポリシーを考案できるよう、非常に幅広い視点での考察を促している点が本書の魅力と言えるだろう。
システム管理者なら、知っておきたい知識ばかりであるとともに、すでにスマートフォンを導入している場合も思わぬ落とし穴を発見できるかもしれない。ぜひ一冊、手元に置いておいてはいかがだろう。
- 人はなぜ不正を働くのか?
- なぜIKEAは世界中で支持されるのか
- 今こそ「メディア」を考える
- 部下を信じ、尊敬する
- ご機嫌取りになれ
- “暗い未来”に漫然と向かわないために
- 1つの行動が社会を変革する
- あなたには確固たる「ミッション」があるか?
- 「会社に行きたくない」人ほど会社に依存している
- 失敗の2大パターンは“精神論とお役所仕事”
- コミュニケーションは、ツールではなく人が行うもの
- 社員が疲弊している会社は、経営層とITに問題あり
- ロジカルシンキングで成果が出ない訳
- 手段ばかりを求めていると、結果は出せない
- 「技術へのこだわり」という日本企業の根深い病
- 日本軍とまったく同じ、日本企業の“敗戦理由”
- “技術だけ”では、開発プロジェクトは失敗する
- 断捨離で、業務とシステムはもっと快適になる
- 仕事でモメたくない人のための教科書
- その油断と慢心が“炎上”を招く
- 本当は怖いフェイスブック
- 組織も自分もダメにする「自分大好き」という病
- 災害対策、コスト削減、システム改善は全て同じ問題
- あなたなら、自社システムをどう攻撃する?
- “想定外”から1年、見て見ぬふりはしていませんか?
- ナイトライダーも示唆する人とシステムのあるべき関係
- アップルが成功し、ソニーが失敗した理由
- 貴社のビジネス、ITシステムに“マインド”はあるか?
- 何のために働くのか? その回答はシンプルそのものだ
- 事故を起こす企業の特徴は、「責任者が不明」
- スマホ導入は、セキュリティポリシー設定がキモ
- 失敗は、「簡単なこと」「当たり前のこと」で起こる
- ITがどれほど進展しても、経営の基本は変わらない
- コピペやお絵かきが得意な人は“中毒”の疑いあり
- 情報は、人間関係があって初めて有効に活用できる
- “顧客”や“ユーザー”との関係作りを見直そう
- システム導入・浸透のポイントは“楽しさ”にあり
- “当たり前”を覆すチャンスはまだまだ埋まっている
- ソーシャルメディア・リテラシが収益を左右する
- 技術者はアーティストであり、製造業者ではない
- 分析するのは「ツール」ではなく「人」である
- ブランドは、消耗品である
- 当然のことを当然にこなすための指南書
- リスクを知っていてこそ、スマホは使いこなせる
- 個人でも企業でも、“ナンパ野郎”はウザいだけ
- 「見える化」だけでは、ビジネスは進まない
- 2ちゃん、ニコ動、外務省。次の標的は貴社のサイト!?
- あなたの会社は「突然死」の危機にさらされている
- BCPは、業務部門と情シスが連携して初めて成功する
- 仕事や人生、そして復興にも、秘策はない
Copyright © ITmedia, Inc. All Rights Reserved.