業務でのノートパソコンやスマートフォン、タブレットなどのモバイルデバイス活用の普及には数多くの利点があります。
この技術により、移動中、組織外の場所、自宅などで行う業務でも情報を利用できるようになり、カスタマーエクスペリエンスと従業員の労働環境の双方を向上させることができます。
BYOD (個人所有デバイスの利用) の採用が拡大することにより、従業員は個人所有のモバイルデバイスを使用して業務を行うことができ、これによって生産性が向上し、組織においてはコスト削減効果も期待できますが、同時に、「モバイルデバイスに保存された企業情報を効果的に管理する」という課題も拡大します。
目次
モバイルデバイスの活用に潜むリスクは?
情報は企業ファイアウォールの内側にのみ保管されている、という時代は終わりました。情報が移動する、モバイルの時代になったのです。
情報は、物理的な場所、モバイルデバイスの種類、通信チャンネルという要素と絡み合いながら移動します。
保有するデータが、政府機関のデータと同様の機密レベルまではないものの、タクシーにノートパソコンを置き忘れた場合や、スマートフォンやタブレットが盗難に遭った場合などは、組織の業務や評価に大きな影響を及ぼすこともあります。
組織では、モバイルデバイスを対象に、強力な情報ガバナンスを運用すること、およびその運用が外部からも明確になっていることが不可欠です。
モバイルデバイスの管理に必要な3つステップとは?
モバイルデバイスの使用と管理については、リスクに基づいて評価および管理する必要があります。
また組織では、
①「組織所有のデバイス」および「使用を許可しているデバイス」について
②それらのデバイスを使用する「従業員」について
③それらのデバイスで「保存および処理される情報とその目的」について
を明確に把握する必要があります。
これは、以下の3つのステップで達成することができます。
モバイルセキュリティに関するポリシーを作成する
このポリシーでは、以下のような問題に関連する「主要な規則と手順を定める」必要があります。
- 許可される用途とは何か?
- モバイルデバイスをどのように使用および保護するか?
- 情報の送受信において、インターネットやその他のネットワークにモバイルデバイスをどのように接続するか?
- 使用および送信できる情報は何か? すべきでない情報は何か?
- 紛失や盗難が発生した際にどう対応するか?
紛失リスクを最小限に抑える
紛失や盗難に遭った場合のリスクを軽減するため、組織のポリシーでは、「従業員に以下を促す」必要があります。
- 可能な限り、ノートパソコンは物理的にデスクに固定して使用する
- モバイルデバイスを使用していないときの安全を確保する
- オフィス外や自宅では、モバイルデバイスを目の届かない場所に放置しない
- モバイルデバイスには、セキュリティや認証アイテム (トークンなど) を保存しない
- デバイス上に保存しておくデータの量を最小限に抑える
- デバイスおよびデバイス上のデータをバックアップする
不正流出を防ぐ
デバイスの紛失や盗難を防ぐために最善の努力を払っても、予期しない事故が発生する場合があります。そのような場合に、モバイルデバイス上の情報を見られたり、取り出されたりできないようにすることが重要です。
このため、以下の対策を検討し、必要に応じて実施することが求められます。
- 最低限の対策として、デバイスやオペレーティングシステムの基本的なパスワードを設定する
- 情報の機密レベルに応じて、強力なセキュリティと認証を設定する (データを暗号化し、デバイスには指紋認証などの生態認証を設定)
- ノートパソコン、PDA、スマートフォン(スマホ)ではデータの遠隔消去機能を使用し、紛失や盗難の際はデバイスをクリアまたは使用不能にする
- ノートパソコン、PDA、スマートフォン(スマホ)では遠隔バックアップ機能を使用し、デバイスに保存する必要のある情報の量を最低限に留める
まとめ
本記事では、「モバイルデバイス」に潜むリスクと効果的な3つの対策方法について記載しました。
貴社内でも再度以下をチェックしてみてはいかがでしょうか?
- モバイルセキュリティポリシーを作成する
- デバイスから目を離す際の物理的な安全性を確保する
- デバイス上に保存する情報を最小限に留める
- デバイスやリムーバブルメディアに暗号化を適用する
- 情報の機密/価値レベルに応じてセキュリティレベルを設定する
- デバイスのデータの遠隔消去機能と遠隔バックアップ機能を確認する
- デバイスの紛失や盗難の際に何をすべきか、全従業員が理解する