スマホ導入は、セキュリティポリシー設定がキモ情報マネージャとSEのための「今週の1冊」(85)

» 2012年04月10日 12時00分 公開
[@IT情報マネジメント編集部,@IT]

スマートフォンの業務利用におけるセキュリティ対策

ALT ・著=吉田晋
・発行=ソフトバンククリエイティブ
・2012年3月
・ISBN-10:4797369086
・ISBN-13:978-4797369083
・1980円+税
※注文ページへ

 「スマートフォンとクラウドの進化が私たちのIT環境を大きく変えている」。「どこでも、どの端末でも、同一の環境を」というコンセプトがクラウドという文化であり、それを実現する端末の潮流がスマートフォンなのだ」。ただ、「システム管理者の中には、従来の会社が貸与するパソコンと同じようにスマートフォンを管理できると考えている人も多い。しかし、パソコンよりも紛失しやすいスマートフォンは、紛失・盗難による情報漏えいというリスクがとても高いので十分な注意が必要だ」――

 本書「スマートフォンの業務利用におけるセキュリティ対策」は、セキュリティに関するさまざまな客観データを基に、「スマートフォンのセキュリティを守るにはどのようなセキュリティポリシーを組むべきなのか」、あらゆる方策を紹介した作品である。特に「情報漏えいの94.5%は人的ミスである」「運用ルールだけではリスクは減らせない」「いちばん危険なのはアドレス帳のデータだ」「会社が貸与する端末の方が紛失しやすい」といった「システム管理者がこれまで思っていた常識とは異なる部分」にフォーカスしている点が特徴だ。

 例えば、情報漏えいについては、そのほとんどが「社員による情報漏えいの意図のないミス」であり、「事故を起こした社員もまた被害者と言える」と指摘。「損害が大きければ本人の将来にも影響を与えてしまう」ため、入念な施策が不可欠ではあるが、ウイルス対策ソフトの導入や、データ暗号化、リモートロックといった施策だけに注目してしまうと「コストだけかけて、守るべきセキュリティレベルはほとんど変わらないということにもなりかねない」。よって、「自分たちの組織で回避すべきリスク」は何かをまず考えた上で、「端末を紛失しても情報漏えい事故にならない」「運用ルールを破っても情報漏えいが発生しない」ための、事故を根本から解決する対策立案が重要だと訴えている。

 スマートフォンと相性の良いクラウドサービスを利用する際のセキュリティ対策も挙げている。特に、自分で管理しているシステムの場合、ファイアウォールの設定やセキュリティパッチの運用などの施策を当然のこととして行うが、クラウドサービスを利用すると「セキュリティの問題がなくなったと勘違いしてしまう人が多い」。だが、2011年4月にクロスサイトスクリプティングの脆弱性が発見されたEvernoteの例もあるように、クラウドサービス事業者のセキュリティ対策にまったく配慮しないのも間違っている。

 そこで、「ユーザーはクラウドサービスのセキュリティ体制を直接知ることはできない」ものの、「ベンダがISMSのような第三者基準の運用ルールを満たしているかどうか」をチェックしたり、「セキュリティ問題が発生した場合の賠償契約を結ぶ」など、セキュリティ要件をきちんと担保するよう促している。

 このほか「iOS端末の暗号化の問題点」「リモートワイプの限界」、3要素認証を使った「ユーザー認証を安全に行う方法」など、スマートフォンのメリットを安全に享受するための施策を極めて具体的に紹介。特に、セキュリティポリシーを策定する上で、ドイツの心理学者であるデートリッヒ・デルナーが提唱した「誤りを犯しやすい人/犯しにくい人の行動パターン比較分析」を紹介するなど、単なるマニュアルに陥らず、自社独自のポリシーを考案できるよう、非常に幅広い視点での考察を促している点が本書の魅力と言えるだろう。

 システム管理者なら、知っておきたい知識ばかりであるとともに、すでにスマートフォンを導入している場合も思わぬ落とし穴を発見できるかもしれない。ぜひ一冊、手元に置いておいてはいかがだろう。


この新連載で紹介した書籍は、順時、インデックスページに蓄積していきます(ページ上部のアイコンをクリックしてもインデックスページに飛ぶことができます)。旧ブックガイドのインデックスはこちらをご覧ください。

「情報マネージャとSEのための「今週の1冊」」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ