スマホ紛失は業務用PC紛失と同じ危険度 個人情報漏えい、ブランド失墜、身代金要求…… まずは正しい認識を

[PR／ITmedia]

PR

　スマートフォンは日々進化を続け、今では仕事で使うのも当たり前になった。業務で使うスマホの中には、メール、Web会議、グループウェアなど、外部に漏れては困る仕事用のアプリがいくつも入っているだろう。にもかかわらず、スマホの情報セキュリティ対策がおろそかになっている企業は多いのではないか。

　PCやクラウドサービスなどの情報セキュリティ対策は、ツールやサービスも数多くあり、ほとんどの企業が当然のように導入しているはずだ。マルウェア、標的型メール、不正侵入、情報漏えいなど、さまざまな脅威への対策について、経営者や情報セキュリティ担当者が常に考えを巡らせているだろう。

シネックスジャパンの鶴野龍一郎氏（グーグル クラウド プロダクトマネージャー）

　一方で、スマホやタブレットなどのモバイルデバイスの情報セキュリティ対策は十分とは言えない状況にある。Google™ のグローバルパートナーで、デバイスやセキュリティサービスなどを提供するシネックスジャパンの鶴野龍一郎氏によると「モバイルセキュリティをどうにかしたい」と相談に来る企業はほとんどないという。

　「そもそもスマホへの意識が低いです。スマホの性能が向上する中、今までPCで行っていた業務もスマホ上でできるようになってきました。すると当然スマホにもPCと同様の対策が必要になりますが、現状ではどうしても二の次になっている印象です。お世辞にもPCやクラウドサービスのように重視されているとはいえません」（鶴野氏）

業務用スマホをなくすことは業務用PCをなくすのとほぼ同じ

　鶴野氏によれば、スマホのトラブルが発端で起こるインシデントについて現場の理解が進んでいないことから、情報セキュリティ対策がおろそかになってしまうという。どのような脅威があるのかを知り、モバイルセキュリティの必要性に気付くことが重要だ。

　例えば情報セキュリティ会社のオランダGemalto社の調査によると、スマホを電車やカフェなどで紛失した場合、全体の約34％は情報漏えいなどのセキュリティ被害に遭ってしまう。スマホで仕事ができるようになった以上、業務用スマホをなくすことは業務用PCをなくすのとほぼ同じともいえる。業務用PCを紛失したと考えればその恐ろしさに気付けるだろう。

　「例えば、画面ロックをかけていないスマホを紛失することは、パスワードをかけていないPCをなくしたのと同じことだと考えてみましょう。攻撃者からすれば何でもできてしまう格好の餌ですよね。ノートPCなら存在感があるので忘れにくいですが、スマホは小さいのでうっかり忘れる可能性も高く、本来ならより注意が必要なはずです」（鶴野氏）

　紛失以外にもトラブルの原因はある。一つは「野良アプリ」だ。スマホ用アプリは一般的にアプリストアからダウンロードして使うが、中にはアプリストアを経由せずに使えるものもあり、それらをまとめて野良アプリと呼ぶ。

　野良アプリはOS開発元の審査を経ておらず、中には不審な挙動を示すものもある。例えば、インストールしているだけでスマホに保存された情報を抜き取って攻撃者のサーバに送信したり、位置情報を勝手に取得したりとスパイのように働く。

　これも、PCに置き換えて考えるとその重大さが分かるだろう。野良アプリのインストールは、業務用PCに出どころ不明のフリーソフトをセキュリティチェックもないまま勝手にインストールするようなものだ。

スマホのトラブルが引き起こすインシデント

　スマホの紛失や野良アプリによるスパイ行為が原因で起こるインシデントはまず情報漏えいだ。適切に対策していなければ、メールや社内のやりとりを見られ、取引先の連絡先を一気に取得される。すると以下のような問題に発展する。

• 個人情報が漏えいし社会問題になる
• 取得された機密情報を第三者に売られる
• 情報をカタに身代金を要求される
• 取引先への攻撃の踏み台にされ今後の関係にひびが入る
• 情報漏えいを暴露されブランドや信用が失墜する

　しかも、拾った人にITやプログラミングの知識がなくても攻撃が成立する可能性も高い。例えば、スマホを拾った人が中身を見て、勤め先に「機密情報を取得しました。身代金○○億円を要求します」と連絡するだけで最低限の攻撃ができてしまう。

対策を阻むハードル「人材」「知識」「コスト」

　スマホのトラブルが引き起こすインシデントとその影響について分かったとしても、モバイルセキュリティの導入には他にもハードルがある。

　一つは人材だ。鶴野氏によると、大企業であればモバイルセキュリティの重要性を理解し、人員を割いて対応に当たる場合もあるが、中小企業は情報セキュリティの担当者が他の職務と兼任していて忙しいケースや、そもそも担当者を設置していないケースなどもある。

　もう一つが知識だ。情報セキュリティツールやサービスの導入には「何を守るべきか」「どんな攻撃手法があるのか」を最低限理解している必要がある。知識がなければ、対策方法以前に脅威の存在も正しく認識できない。当然、必要なツールを選ぶことも導入して運用することも難しい。

　最後にコストだ。機能が多いツールは安心を得られるが価格も高い。PCやクラウドサービスの情報セキュリティツールを導入した後にモバイルセキュリティ対策をするとなると、あまりコストは掛けられないため、中小企業では導入を見送るケースも多い。

　これらのハードルを取り除くためには、人員や知識がなくても手軽に使えるツール、導入時や使用中に疑問が生じた場合にすぐに質問できるサポート体制などが製品選び成功のカギになる。

　そこでおすすめなのが Google のモバイルセキュア管理ソリューション「Android Enterprise Essentials」だ。Essentials はスマホの情報セキュリティ対策を阻む3つのハードルをできる限り下げた“入門用”のソリューションと言える。

必要最低限の機能を持つ“入門用”　「対策してない」から脱却させる

　Essentials はその名の通り Android™ 端末専用の企業向けセキュリティ管理サービスだ。機能を必要最低限に抑えることで、ユーザーにとっての分かりやすくすると同時に、コストも抑えている。シネックスジャパンが日本のディストリビューターとして提供しており、ツールの導入や設定などもほとんど任せられる。データの暗号化やマルウェア対策に加え、以下のような機能を持つ。

• 紛失対策「リモートワイプ」
• 野良アプリ対策「サイドローディング防止の強制」
• 管理の徹底「ポリシーの強制適用」

　リモートワイプは、スマホを紛失した場合に、中に保存されたデータを遠隔で削除する機能。スマホを拾われ、中身をのぞき見られたとしても、一切の情報を見せずに済む。データの削除はWebブラウザで使えるダッシュボードから2クリックほどで実行できる。

Essentials のダッシュボード

　サイドローディング防止は、Google Play ストアに登録されていない野良アプリをインストールできないようブロックする機能。野良アプリであれば有害な挙動をしないものでもインストールを禁止する。この機能は Android OS に備わった標準機能で、Essentials はこの機能をオフにさせないようにする仕組みを持っている。

　ポリシーの強制適用は、画面ロックの設定や「Google Play プロテクト」といった Android OS 標準の情報セキュリティ機能を強制的にオンにする機能。面倒くさいからといってスマホにパスコードを設定しない従業員に対し、画面ロックを強制的に設定させられる。何者かによって端末を初期化された場合もポリシーは適用し続けるため、どんなときでも端末内への不正アクセスを防止する。

　ポリシーは自動的に適用され、複雑な設定は必要なく、情報セキュリティ管理者が日常的にやる作業もほとんどない。導入作業はシネックスジャパンが行うため、手元にスマホが到着したときには、電源を入れただけで使い始められる状態になる。また、使う中で疑問が出た場合にはシネックスジャパンがサポートする。

　機能を最小限に抑えているため、物足りないように思う人もいるかもしれないが、実はこれがニーズの隙間を埋める働きをしているという。

　スマホなどのモバイルデバイスを管理するツールやサービスのことを総称して「EMM」（企業向けモバイル管理）と呼ぶが、一般的なEMMは、機能をできる限り詰め込んだものが多く、人員も知識もコストも必要になる。

　すると、モバイルセキュリティの導入は「多機能ツールを導入している」か「まったく対策していない」のどちらかに二極化してしまう。Essentials はまったく対策していない企業を最低限対策している状態に持ち上げられる立ち位置にある。多機能なEMMへの移行の前段階としての利用も考えられる。シネックスジャパンは Essentials 以外にも情報セキュリティ製品を取り扱っているため、他社製品との組み合わせや移行についてもサポートが可能だ。

大切なのは脅威を知ること

　鶴野氏はスマホの情報セキュリティ対策を考える上で「技術の谷」という概念を提唱している。

　「大型のコンピュータがデスクトップPCやノートPCになり、スマホになり──というように、デバイスは発展するたびに情報セキュリティの面で谷ができます。脅威の変化に気付かないまま、情報セキュリティ意識がいったん落ちて、意識の水準が上がり切るまでは時間がかかります。今はスマホ登場後で谷の下にいる状態ですね。これから徐々に意識が高まっていくと思います」（鶴野氏）

　デバイスの情報セキュリティ対策はいつの時代も重要で、今までデスクトップPC、ノートPC、クラウドサービスというように守るべきものも増えている。スマホもすでにPCと同様の機能を持ち始めており、情報セキュリティ意識が谷の底にあるままでは脅威に正しく対処できなくなってしまう。

　「多機能EMMのような大規模なものでもいいが、まだ何もできていない企業ならまずは Essentials の導入を検討してほしいです。何をすればいいか分からない、人員が足りないと悩んでいる企業はシネックスジャパンに相談していただければ、Essentials を含めた対策を提案させていただきます」（鶴野氏）

※ Google、Android、Google Play は Google LLC の商標です。