スマートフォンやタブレット端末の業務利用で、特に注意すべきセキュリティ対策

先日iPhone5が発表され、その反響は国内外を問わず大きなものとなっています。

今や多くの人たちが利用しているスマートフォンですが、その大部分が私的利用でしょうが、企業の業務として利用するケースも出始めています。

そこで、特に注意すべきセキュリティ対策に加え、実践的な対応策についてのガイドラインなどの資料が日本スマートフォンセキュリティ協会（JSSEC）や総務省から公開されていますのでご紹介します。

20120919point

スマートフォンやタブレット端末の業務利用に関しては、最近、私が支援させて頂いている企業においても相談が多くなってきましたし、以前当サイトで取り上げた「私有端末の業務利用（BYOD：Bring Your Own Device）に関する課題と対応策」に対するお問い合わせも頂きました。

実際、街中や交通機関の車内、さらには企業内での昼食や休憩時間など、多くの人がスマートフォンを使っています。

この様な状況の中、企業側（特にIT部門）は、セキュリティ面や管理面でのリスクが大きいからという理由などで、スマートフォンの業務利用を禁止することは適切ではないと考えています。

業務時間中にスマートフォンなどを私的に利用することは論外ですが、業務での利用も前向きに考慮した上で、

脅威やリスクを想定し、適切な対策を講じ、常にモニタリングする。

ことが必要と考えています。

そこで、スマートフォンなどの業務利用に際して、特に注意すべきセキュリティ対策を整理します。

また、実践的な対応策について、日本スマートフォンセキュリティ協会（JSSEC）や総務省からガイドラインなどの資料も公開されていますのでご紹介します。

企業としての利用ポリシーを策定し、社員のリテラシー教育を徹底する。

不正プログラム、端末の紛失や盗難に伴う情報漏えいへの対策を講じる。

企業内のイントラネットや無線LAN、社外の通信網や公衆回線など、様々なネットワーク環境に応じたセキュリティ対策を講じる。

・無線LANや3G回線経由からの接続に対して、認証システムを構築する。
パスワードなどによるユーザー認証に加え、電子証明かMACアドレス認証で端末認証も組み合わせる。

・認証端末が、社内ネットワークのどこまでアクセス可能か、事前に決められた範囲内で使用を許可する。
仮想LAN（VLAN）でアクセス制御したり、ファイアウォールで不正アクセスを防止したりする。

・私有端末の業務利用（BYOD）などの実現に向けた対策を講じる。
サポート面や社内制度の見直しを実施する。

詳細は、以前（2012.1.22）当サイトを参照ください。
「私有端末の業務利用（BYOD）に向けた課題と企業側の対策」

ITベンダーの多くは、クラウドと並んで、スマートフォンやタブレット端末の導入やセキュリティ対策を商談の切り口として積極的に提案をしています。
（個人的には、私有端末の業務利用（BYOD）は、今後数年の過渡期のテーマであると考えています。）

企業にとってのスマートフォンたタブレット端末の業務活用、さらには私有端末の業務利用（BYOD）を見据えた準備をしていくためには、企業それぞれのITに関する環境や利活用の成熟度、社員の意識や企業風土などを考慮した対応が必要です。

ここでは、技術論ではなく概念を整理していきました。
今後も新たに様々な端末が出てくる中、その技術動向、ソフトウェアやハードウェアによる対応策につきましては、機会があれば随時ご紹介していきたいと考えています。

『スマートフォンネットワークセキュリティ実装ガイド』【β版】
2012.7.18、技術部会ネットワークワーキンググループ、pdf995KB

『MDM導入・運用検討ガイド』【β版】
2012.6.12、技術部会デバイスワーキンググループ MDMタスクフォース、pdf791KB

・スマートフォンの特徴について、利活用の効果やしくみと特性、スマートフォンのセキュリティを「利用シーン」と「デバイスのライフサイクル」から、管理者が認識しておくべき脅威と対策について説明されています。
・また、法人所有の業務利用だけでなくBYODに関しても、組織として考慮すべきポイントが整理されています。

総務省