最終回 リスクアセスメントとセキュリティポリシー策定


Android セキュリティ部
2011/12/9
爆発的な勢いで普及し始めたAndroid端末は、大きなポテンシャルを秘める一方で、セキュリティという課題にも直面しています。この連載では一般ユーザー、ビジネスユーザーと、あらゆるAndroidユーザーを対象に、Androidのセキュリティについて解説していきます。(編集部)

 大前提はリスク評価とセキュリティポリシー

 ビジネス用途でAndroid OS搭載端末(以下、Androidという)を活用するときの、あるいはすでに社員が使い始めてしまったときのセキュリティ対策について、第3回では脅威とその対策の概要を紹介し、第4回ではMDM(Mobile Device Management)の側面から対策を解説しました。

 最終回の今回は、Androidをビジネスで利用する際の大前提となる、リスクアセスメントとセキュリティポリシーの策定を中心に説明します。

 多くの企業ではすでに、モバイル利用シーンも想定した、何がしかのセキュリティポリシーを運用していることでしょう。もし、暗黙の了解という形で従業員がAndroidを利用している場合には、早急にセキュリティポリシーを作成することをお勧めします。特に、Androidは発展途上であるため、何らかの技術を導入するだけで、問題がすべて解決するわけではありません。

 この記事では、すでにセキュリティポリシーを策定し、PDCAサイクル(注1)の中で運用しているという前提に立ち、Androidの導入に当たって既存のセキュリティポリシーを見直すという想定で、どんな作業が必要になるかを記述していきます。初めての情報セキュリティ体制構築は目的としていませんので、ご注意ください。

 また以下は、主に、情報システム管理者がAndroidの選定や運用を行う場面にフォーカスして記述していきますが、Androidのアプリ開発やシステム開発に従事する方にも役立つものとなれば幸いです。

注1:セキュリティ対策と同時に重要な点は、P(策定)D(導入)C(評価)A(改善)サイクルを定期的に継続して行うことです。これは、新しい技術などの出現に応じて、セキュリティを維持していくために必要なプロセスです。

記事の構成

 この記事では、リスクアセスメントを説明するに当たって、ある仮想の企業を想定し、リスクアセスメントの全体像を説明します。この仮想企業をモデルとして、リスクアセスメントで利用する評価値を定め、リスク対応を分類していきます。

 また、Androidをビジネス利用する際に検討する指針として、経済産業省が制定した「情報システム安全対策基準」(注2)に準じた安全対策基準サンプルを参考例として提示します。この安全対策基準サンプルはあくまでも参考例であり、このまま適用できる企業は少ないと思いますが、情報システム管理者の一助となれば幸いです。

注2:経済産業省の情報システム安全対策基準(PDF)を利用しています。

 最初のステップ、リスクアセスメント

 リスクアセスメントとは「組織状況の確定、リスクを特定、解析、評価、対応を決定するプロセス全体」を指し、セキュリティリスクを評価することです。

 情報システム管理者の中には、「Androidは新しい技術であるため、正しくリスクアセスメントを行うのは困難である」と考える方もいることでしょう。しかし、Androidだからといって、特別な考えやアプローチは不要です。最も重要なことは、各企業におけるAndroid導入リスクを特定し、正確に解析、評価を行うことです。

 情報システム管理者がリスクアセスメントを正確に実施すれば、「どのような技術的・物的・人的な対応を行うことで、どのぐらいの費用対効果が得られるか」が理解できることでしょう。

 ISO31000のリスクマネジメントの全体フローは図1注3)の通りです。詳細は、ISO31000の情報セキュリティガバナンス導入ガイダンスなどを参照してください。
図1 リスクマネジメントの全体フロー

 ISO31000はリスクマネジメントの標準化として制定されています。ここでは、リスクアセスメント部分のみ焦点を当て概略を記載します。

注3:経済産業省「情報セキュリティガバナンス導入ガイダンス(PDF)」P.53参照。

リスクアセスメント

  • リスク特定:リスク管理すべき対象をリスクとして認知します。
  • リスク解析:リスク特定されたリスクを、どのようなリスクに分類されるか、リスクの詳細を解析します。
  • リスク評価:リスク解析を基に、経済的な損失、対象物の情報資産の価値、脅威の度合い、脆弱性の度合いなどを加味して、対象リスクの評価を行います。
  • リスク対応:リスク評価から、実際に、技術的・物的・人的に対応します(詳細は、下記の【リスク対応】に記します)。

リスク対応

 リスク対応には、低減、回避、移転、受容(保有)というさまざまなケースがあります。リスク評価に基づいて、具体的な対策を決定します。

 リスク特定・リスク解析時の注意点

 リスクを特定(定義)する、あるいはリスクを解析する場合に重要な点は、Android利用を想定する業務を明確に限定することです。将来的にはAndroidを利用する業務が変わるかもしれませんが、これまでのリスクアセスメントの見直しと同様に、PDCAサイクルとして、利用用途が変わるたびにリスクアセスメントを繰り返し行うようにしてください。

 これはAndroidを業務システムとしてどのように利用するかによって変わりますが、業務系Webシステム、専用Android用業務アプリ、コミュニケーションツール(電子メールなど)などの利用および開発などが想定できます。

第4回へ
1/3

Index
最終回 リスクアセスメントとセキュリティポリシー策定
Page1
大前提はリスク評価とセキュリティポリシー
最初のステップ、リスクアセスメント
リスク特定・リスク解析時の注意点
  Page2
「貸与」と「BYOD」に分けてリスク評価
(1)紛失・盗難のリスク評価
(2)不正な情報持ち出し、内部犯罪のリスク評価
  Page3
(3)バグ/セキュリティホールとマルウェアのリスク評価
(4)人為的過失による情報漏えいのリスク評価
積算結果に基づく優先順位付け
セキュリティポリシーの策定と教育の実施
継続的なリスク評価の見直しを

Androidセキュリティの今、これから バックナンバー


イチから始める! Androidセキュリティ 連載インデックス

TechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

キャリアアップ

- PR -
@IT Sepcial
→ @IT Special ヘ

イベントカレンダー

PickUpイベント

- PR -
もっと見る
- PR -

お勧め求人情報

ホワイトペーパーTechTargetジャパン

@IT Sepcial
→ @IT Special ヘ
ソリューションFLASH