利便性と生産性のためにセキュリティがおろそかになることは避けなければなりません。従業員が携帯電話のデータにアクセスする場合は、適切なセキュリティ対策が講じられるべきです。
複数のデバイスを操作していつでもどこでもオフィスに接続できる環境を整えることで、従業員の生産性を向上させることができます。しかし、生産性にはコストが伴います。そのコストとは機密データが失われる可能性です。
今日のビジネス環境では、仕事関連の情報をモバイルデバイス(個人所有のものでも、会社が供与するものでも)でチェックすることはかなり一般的になっています。問題は、それらのデバイスが会社のネットワークと同じレベルの保護を持っていないことです。スマートフォンやタブレットで機密情報をチェックしていると、そのデータが開示されてしまったり盗まれたりするリスクが高くなります。
Ponemon Institute の調査によると、調査対象組織の67%で従業員のモバイルデバイスを経由したデータ侵害を経験していました。モバイルへのマルウェア攻撃を調査、抑制、修復するには、年間平均で1,630万ドルの費用がかかります。
さらに問題なのは、IT部門が機密データがどれほど危険にさらされているかをしっかり認識できていないことです。IT部門が、モバイルデバイスで顧客レコードにアクセスできる従業員の割合を平均19%と想定しているのに対し、実際には従業員の43%がモバイルからデータにアクセスしています。
モバイル使用によるリスクとして、デバイスの盗難、データ侵害、認証機能の弱さ、モバイルマルウェアなどがあります。モバイル使用によるデータ損失を防ぐことは、デバイス上のデータ、アプリケーションで使うデータ、ネットワーク上のデータを保護する必要があるため、複雑になります。
モバイル経由でアクセスされる重要データを安全に保つためのヒントを次に示します。
システムのアップデートを実行する
これは言うまでもないことのようですが、実際はそうでもなさそうです。ある調査によると、モバイルのオペレーティングシステムのアップデートを実施している企業はわずか9%にすぎません。しかも、これは、それ以前の状況から改善した数字です。
セキュリティパッチは、セキュリティ上の脅威からデバイスを保護する簡単な方法です。従業員に対し、最新バージョンではないにしても、少なくとも2番目に新しいバージョンのモバイルシステムを使うよう指示を徹底する必要があります。
モバイル使用に関するポリシーの策定
データにアクセスして使用する方法に関するポリシーがない場合、従業員がモバイルデバイス上のデータの扱いに十分な注意を払うだろうと楽観的に期待することはできません。会社が供与するデバイスを使用する場合でも個人所有のデバイスを使用する場合でも、モバイルデバイスから会社のデータにアクセスする場合の必要事項を記述したポリシーが必要です。
まず必要なのは、厳重秘密データや機密性の高いデータを判別し、そのデータへのモバイルアクセスを制限するデータ分類ポリシーです。ポリシー策定に関して考慮すべきその他のポイントには次のようなものがあります。
- パスワード管理: データにアクセスするために複雑なパスワードを要求し、定期的にパスワードを変更する
- 多要素認証: 従業員にモバイルデバイスからデータにアクセスするための追加情報を要求する
- BYOD ポリシー: 個人所有デバイスの使用を統制し、必要な制限を設定する
- アプリ使用の制限: セキュリティ基準が厳しくない一般的なモバイルアプリの使用をブラックリストに掲載する (企業がブラックリストに載せるアプリのトップ10 リスト)
暗号化とデータワイプ
携帯電話やタブレットの紛失や盗難は驚くほど頻発しています。毎年約7,000万のスマートフォンが紛失しており、スマートフォンのうち4.3%が紛失または盗難されています。モバイルデバイスは持ち歩いてどこにでも持ち込むものなので、置き忘れたり、誰かが盗んだりする危険性はかなり高いです。したがって、デバイス上のデータを保護する対策が必要になります。
企業データを暗号化することは、デバイスが紛失または盗難された場合に個人情報を保護する重要な方法です。暗号化することで、デバイスがどこにあるか、あるいは誰が所持しているかにかかわらず、権限のないユーザーは機密情報にアクセスできなくなります。
会社でエンタープライズ・モバイル・マネジメント(EMM)ソリューションを使用している場合、紛失または盗難されたデバイスからデータをリモートでワイプすることができます。会社から供与されたデバイスならば、IT部門でデータを完全に消去してデバイスを工場出荷時の設定に戻すことができます。個人所有のデバイスであれば、会社のデータとアプリだけを削除する選択的なワイプが可能です。いずれにしても、リモートワイプはデータ損失に対する優れた防御です。
データの監視と監査
規制コンプライアンスを徹底し、機密情報のセキュリティを確実にするには、従業員のモバイルデバイス上のデータも監視し、監査する必要があります。内部者が関与する脅威、データ漏えい、マルウェアを検出するためにも不可欠です。もちろん、これは個人的な使用部分に侵入しないために透過的なプロセスでなければなりません。
各産業でコンプライアンス徹底すべき規制の多くは、ユーザーのアクセスに対する監視を必要とします。従業員が医療記録、支払いカード情報、財務記録などの顧客データにアクセスできる場合には、特に重要になります。
業務でどのようなデバイスが使用されているのかを調べ、ユーザーの場所とデバイスIDの情報を含めてどのデータがアクセスされているのかを追跡する必要があります。ネットワークアクセスコントロール、デバイスフィンガープリントツール、ワイヤレスネットワークIPSは、これらの情報を見つけるのに役立ちます。ログメッセージで、ユーザーが業務アプリにアクセスした時間とデバイスの場所を追跡することができます。
多くのEMMソリューションは、モバイルデバイスのインベントリ、リモート設定、アプリの隔離、リモートワイプ、不正なアプリ検出などの監視とセキュリティを支援します。また、アプリケーションのラッピング、セキュアなファイルの同期と共有、ブラウザと電子メールの保護も含まれます。
外出先で会社のデータを必要とすることは多く、業務を効率的に行う必要があります。しかし、利便性と生産性がセキュリティを弱めることは許されません。どのデータが利用可能なのか、誰がアクセスを許可されているのかを監視してコントロールすることが重要です。