【中小企業のIT活用術 VOL.7】モバイル+クラウド時代の中小企業セキュリティ(後編) | RBB TODAY

【中小企業のIT活用術 VOL.7】モバイル+クラウド時代の中小企業セキュリティ(後編)

エンタープライズ セキュリティ
スマートフォンには様々な利用者情報が集約されている
スマートフォンには様々な利用者情報が集約されている 全 2 枚
拡大写真
■BYODではどんな点を注意すべきか

 前編では、生産性向上のためにBYODを導入するなら、必然的にセキュリティ対策も考慮する必要があることを説明した。後篇では、中小企業においてBYODを導入する場合のポイントや注意すべき点などを解説してみたいと思う。

 BYOD導入において、まず前提となるのは、スマートフォンやモバイルといった視点以前に、基本的な社内のセキュリティが最低限備わっている必要があるということだ。といっても、大がかりなシステムやソリューションを導入しろということではない。ウイルス対策ソフトを導入すること、サーバーやクライアントPCのOSをはじめ、利用しているアプリケーションのセキュリティアップデートを確実に行い、常に最新のバージョンに保つこと。必要のないアプリケーションをむやみにインストールしないこと、インターネットとの接続には必ずファイアウォールを設置すること、公開WebサーバはDMZに設置すること、などかなり基本的なことを徹底するだけでもよい。

 そして、万が一のウイルス感染やシステム侵入に備えて、システムの定期的なバックアップやログを保存しておくことも重要である。中小企業の場合、効果な監視システムや検知システムを導入するのは予算的にも、人員体制的にも困難なことが多い。常時監視が無理ならばログだけでも保存しておくべきである。ログの有無によって、被害発生後の対処に違いがでるからだ。

 バックアップも、業務やサービスを復旧させるとき、バックアップファイルの有無によって復旧時間や手間を大幅に削減することができる。業務の復旧が早ければ、それだけ機会損失のリスクを減らすことができる。面倒かもしれないが、バックアップとログ保存も必須と思ってほしい。

 ID/パスワードなどのアカウント管理と最低限の認証システムも欠かせない。適切なアカウント管理は、ファイルやリソースのアクセス制御にもつながり、機密レベルに応じたセキュリティの確保や機密保持に役立つだけでなく、不必要な被害拡大も防いでくれる。

■想定されるリスクと対策

 社内の業務システムについて、基本的なセキュリティ対策ができていれば、いざBYODを導入するとなっても慌てる必要はない。スマートフォンやタブレットは、携帯電話よりPCに近いので、セキュリティの考え方はモバイルPCの延長線上にあるとみていいだろう。もちろん、スマートフォンならではの特性は考慮しなければならない。

 以下にスマートフォンやタブレットなどモバイルデバイスを業務利用する場合に考慮すべきリスクと対策をまとめるので参考にしてほしい。

・リスク
紛失・盗難/ウイルス感染/不正アクセス・踏み台/盗聴・ドライブバイダウンロード/情報漏洩/不正サイトアクセス

・対策等
データ暗号化・リモートワイプ・シンクライアント化/アンチウイルス・セキュリティアップデート/アプリケーション制限/VPN、Wi-Fi制限、MACアドレス制限/データ暗号化・アクセス制御・二要素認証/フィルタリング、ファイアウォール

 以上は、目安としてまとめているので、リスクに対する対策は、複数を組み合わせたほうが一般的にセキュリティ強度は上がる傾向にあるし、シンクライアント化は盗難だけでなく情報漏洩やウイルス感染のリスクを減らす効果もある。あるいは、リスクも単独で発生するということはなく、ウイルス感染してから、サーバーに不正アクセスされたりと、こちらも実際には組み合わせて発生することが多い。

 また、対策欄の施策もよく見ると、それほど特殊なものはない。社内システムの基本的なセキュリティが重要であると述べた理由もそこにある。そして、モバイルデバイス特有の対策としては、MDMとしてパッケージや市販のソリューションが利用できる。自社の業務やBYODの目的に合わせて、必要な対策を立ててほしい。

 なお、以上のBYOD環境は、主に、端末を会社のイントラネットに接続し、業務システムやファイルにアクセスするスタイルを想定したものだ。WebメールやSNS、ファイル共有サービス、クラウドディスクスペースのようなサービスを利用する場合は、それぞれのサービスの規約や個人情報・プライバシー情報の取扱ポリシーなどを精査して、会社ごとに利用規約やガイドラインを策定する必要がある。ガイドラインなどどんなものを作ればいいかわからない場合は、日本スマートフォンセキュリティ協会が発表した「BYODの現状と特性」や総務省が発表した「スマートフォン プライバシー イニシアティブ」などが参考になるだろう。

■中小企業こそ戦略的なセキュリティ施策が必要

 スマートフォンやタブレット市場が拡大し、関連したクラウドサービスもますます充実してきている。この傾向は今後も続くと思われるが、中小企業こそ少ない投資でITシステムを活用できる可能性が広がる、モバイルデバイスやクラウドを活用しない手はない。また、クラウドサービスやモバイルアプリケーションの市場は、参入コストが低く中小企業やベンチャーが参入しやすい市場でもある。

 このように、便利なビジネスIT環境が手に入り、新規サービスも簡単に立ち上げることができるようになる反面、会社の機密情報が簡単にネットに流出してしまう危険性も高まる。簡単にSNSを始められるかもしれないが、そのようなベンチャー企業もいきなり大量の個人情報を管理することにもなるわけである。個人情報の扱いについては、企業の大小にかかわらずその責任は重い。

 また、社会問題化している標的型攻撃は、最終的な目的が大企業や政府機関だったとしても、攻撃者はそこに至るまで、多くの一般サイトや関連企業を踏み台にしたりトラップをしかけたりするためのハッキングに余念がない。個人端末だから、中小企業だからという理由で、攻撃者にとって価値のない情報しかないなどと思わないことだ。乗っ取れる端末、なりすましに利用できるID、マルウエアを仕掛けやすい脆弱なサイト、これらの情報は、さまざまな攻撃の足がかりに使えるので、アンダーグラウンドマーケットで取引されているのだ。

 中小企業こそ、これからのビジネスにソーシャル、クラウド、モバイルといったトレンドが無視できないとなると、セキュリティは経営や事業戦略に組み込むべきもといえるのではないだろうか。

《中尾真二》

特集

【注目記事】
【注目の記事】[PR]

この記事の写真

/

関連ニュース