スマートフォン(タブレット)の業務利用、管理者が事前に考えておくこと、利用者向けセキュリティ簡易チェックリスト(企業内編)

前へ

次へ

このページ内の目次

スマートフォン(タブレット)の導入計画のポイント、PC含めたセキュリティ簡易チェックリスト(企業内編)

Mobile_security_checklist

最近、スマートフォンやタブレットを業務で活用、または具体的に導入検討を始める企業が増えてきました。

そこで、「企業が導入していく上で、導入検討から廃棄に至るまでの計画」と「企業内で利用する方々が気をつけなければならないセキュリティ簡易チェックリスト」を整理します。

更新
 2016年04月14日 関連する他サイト記事:仕事の話SNS=炎上?“ビジネスネットマナー”ヒント集
 2016年03月03日 関連する他サイト記事:内部不正による情報セキュリティインシデント実態調査
 2015年09月07日 関連する他サイト記事:Office 365のモバイルデバイス管理(MDM)機能を使う
 2014年08月26日 関連する他サイト記事:個人用デバイス・ツールの業務利用実態 2014
 2014年08月13日 関連する他サイト記事:54.7%が個人のスマートフォンに業務情報を保存
 2014年08月02日 関連する他サイト記事:法人向けインターネットバンキング不正送金被害急増
 2014年08月01日 関連する他サイト記事:従業員の半数以上が、過去1年間で禁止ツールを利用
 2014年07月28日 関連する他サイト記事:サイバー攻撃で自社サイトが長期閉鎖したら?
 2014年07月25日 関連する他サイト記事:ベネッセの情報漏えいから学ぶ情報管理
 2014年07月15日 関連する他サイト記事:仮想環境「Hyper-V」を有効にする
 2013年12月22日

スマートフォンやタブレットは、携帯性や操作性に優れており、これまでのデスクトップやノートPCでは実現困難であった業務プロセスを構築できる可能性があります。

以下は、一般の消費者がスマートフォンとタブレットを使って、企業のサイト閲覧やダイレクト販売などを利用する場合ではなく、企業内の方々が自社業務で利用する主な事例を整理すると以下に分類できます。

スマートフォン

  • ・必要最低限の入力、表示が中心となる業務
  • ・活用分野
    メールやグループウェア、営業支援、点検や確認などの各種入力業務

タブレット

  • ・文字や条件の入力、画像や動画を表示して訴求力や効率を高める業務
  • ・活用分野
    商品検索やプレゼンテーションなどの販促用、接客用端末、デスクトップ端末、図面やマニュアル表示及び工程内端末、ペーパーレス会議、教育分野

 

このように、スマートフォンやタブレットを企業内業務で利用する場面は、OSや画面の大きさ及び業種によって様々ですが、利用者や業務範囲が広がるとともにセキュリティ上のリスクも増えていきます。

紛失、盗難、マルウェア感染、ハッキング、さらには情報漏えいといったセキュリティ事故を起こしてしまうと、企業は自社のみならず取引先のシステム損害、社会的信用の失墜、さらに事故の内容次第では行政処分の対象になる場合もあります。

企業側(管理者)として取り組むべき対策は以前も当サイトでご紹介しましたが、

  • ・組織としての利用ポリシーやルールの策定に加え、
  • ・モバイルデバイス管理(MDM:Mobile Device Management)ツール導入やネットワーク保全などのインフラ整備
  • ・プログラムやデータの配置を含めた全体システムの構築など

利用業務に応じて、適切な対応を講じることが必要です。

特に最近では、スマートフォンやタブレットを業務で利用する際のセキュリティ課題を解決するソリューションが揃ってきていますので、単に「セキュリティ上の不安」を理由に導入を見送るのではなく、リスクを管理しながら段階的導入を進めていくべきと考えます。

その際には、導入検討から廃棄に至るまでのライフサイクル計画を、組織の文化や風土、業務やITシステム基盤の成熟度などに応じて策定しておくことが必要です。

 

企業(管理者)が事前に考えておくこと

導入検討に当たっては、はじめから企業業務システムとの連携を前提する場合もありますが、段階的な導入を計画することも有効です。

  • ・ステップ1
    ペーパーレス会議など業務システムとは独立した業務から導入し、利用に慣れながら業務適用の可能性を判断する。
  • ・ステップ2
    グループウェアや情報閲覧などの情報系システムに利用する。
  • ・ステップ3
    基幹業務システムと連携した新たな業務プロセスで利用する。
  • ・補足:セキュリティ対策に応じて、利用機種の範囲を拡大する。
    セキュリティ対策のレベルに応じて、企業から貸与する機種、個人の端末でも企業が限定して認める推奨機種、さらに機種の範囲を拡大するなど

 

1.導入検討時

  • ・スマートフォンやタブレットの特性や全体システム内での位置づけを整理
  • ・適用業務と期待効果の想定
  • ・全体最適の視点から、導入範囲や導入是非を判断

2.セキュリティ方針の決定

  • ・想定されるセキュリティリスクの洗い出し
  • ・セキュリティ対策の方針決定
  • ・セキュリティポリシーの定義

3.インフラ整備方針の決定

  • ・必要な機能及び業務システムとの連携を考慮した機種選定基準の決定
  • ・MDMツールの調査と導入方針の決定
  • ・組織内外のネットワーク接続方針の決定と設計

4.運用方針の決定

  • ・運用ルールの策定と徹底策の決定
  • ・利用申請と承認、利用監視などの運用管理方針の決定
  • ・導入から廃棄、問合せ対応、障害対応などのルールと担当の決定

5.導入計画の策定

  • ・導入に関わる課題と対応策の整理
  • ・導入ステップとスケジュールの策定
  • ・導入計画の見直し基準の決定

 

しかし、管理面やシステム面での対策に加え、利用者側もセキュリティ脅威に関する意識を高め、セキュリティ事故を起こさない利用を心がけるように徹底してもらわなければなりません。

そこで以下には、PCを含めたスマートフォン(タブレット)を企業内で利用する方々が、気をつけなければならない最低限のセキュリティ対策について、簡易チェックリストとして整理しています。

先日の「簡易チェックリスト(プライベート編)」に加えて、日々の利用状況を確認してみてください。

 

簡易チェックリスト(企業内編)

ここでは、タブレットやスマートフォン(PC含む)を企業の業務で利用する方々が、気をつけなければならない最低限の対策として、簡易チェックリストを整理しています。

ここで整理している事だけを気をつければいいということではなく、企業内で管理者や他の利用者と常に情報を交換して、セキュリティ事故を起こさない工夫や新たな改善策を自らも考えていくことが必要です。

全般
1 情報システム利用に関する社内ルール(規定)を理解し、順守している
2 業務以外の用件で、情報システム用機器は使用していない
3 個人の機器で情報システムを利用していない。接続していない。
4 個人で管理しているデータは、定期的にバックアップをとっている
5 業務上の情報は、重要度に応じて決められたルールに基づいて適切に管理している
資料やメモなどを机の上に放置したままにしていない
社外に持ち出す場合は必要最低限にし、目を離さないようしている(寄り道しない)
資料やデータは重要度に応じて適切に管理されており、決められた権限に応じて閲覧、承認などが行われている
6 外部のデータを社内に持ち込むときは、
USBメモリやDVDなどの可搬記録媒体ではなく、できる限りメールで受取るようにしている
なお、可搬記録媒体の場合は、データのウィルスチェックを事前に行っている
データの保管、廃棄など、入手先と確認して適切に管理している
7 取引先などの外部に資料やデータを提供するときは、重要度の確認、重要度に応じた適切な管理をお願いしている
8 IDやパスワードは、
他人に推測されにくいものを設定し、定期的に変更している
サービス単位に設定し、複数のサービスで使いまわしはしていない
IDやパスワードをメモして誰もが見れるようにしていない。他の人に教えていない
その他
1 情報セキュリティに関して常に意識して、事故を起こさないように心掛けている
2 情報セキュリティに関して、普段から社内で会話や情報共有をしている
3 社内の問い合わせ及び相談窓口を知っている
メール
1 メールソフトは、企業で決められた設定で使用している
2 受信時
送信元や添付ファイルなどを事前に確認して開いている
身に覚えのないメールのURLや添付ファイルは、不用意に開いていない
知人からのメールでも、アドレスや本文を確認し、不審点があれば電話などで直接確認し、URLや添付ファイルを開いている
添付ファイルは、プロパティで拡張子を確認してから開いている
3 送信時
送信先、本文、添付ファイルに間違いないかを、送信前にもう一度確認している
txtやexeのファイルを不必要に添付していない
お互いのメールアドレスを知らない複数人に送る場合、Bcc機能などで他の人にメールアドレスを誤って伝えてしまわないように心掛けている
必要により、データの暗号化又はパスワード保護をかけている
Webサイトの閲覧、ソフトのインストール
1 業務上関係のないWebサイトは、閲覧していない
2 業務上認められていないソフトは、インストールも使用もしていない

 

ビジネス導入事例

Apple「iPhone」「iPad」の事例

iPhoneのビジネス導入事例

iPadのビジネス導入事例

 

関連する情報

一般社団法人 日本スマートフォンセキュリティ協会

ホームページ

報告書

独立行政法人 情報処理推進機構

ホームページ

情報セキュリティ関連ページ

 

関連する情報(他サイト記事)

仕事の話SNS=炎上? ビジネスチャットで「お疲れ様です」は不要? 迷い多き“ビジネスネットマナー”ヒント集
2017年4月14日 INTERNET Watch

「内部不正による情報セキュリティインシデント実態調査」報告書
2016年3月3日 IPA 独立行政法人 情報処理推進機構

中小企業のモバイル機器管理はこれで十分 Office 365のモバイルデバイス管理(MDM)機能を使う
2015年9月07日 INTERNET Watch

個人用デバイス・ツールの業務利用実態 2014
禁止されても6割以上が個人所有のスマートデバイスを業務に利用
2014年8月26日 トレンドマイクロ

『第二回スマートフォン企業利用実態調査報告書』を公開
企業側の54.8%がBYODを容認する一方で、企業の従業員はBYODでの機密情報漏えい、個人情報流出を懸念
54.7%が個人のスマートフォンに業務に関する情報を保存
2014年8月13日 JSSEC

法人向けインターネットバンキングの不正送金被害が急増
2014年8月1日 IPA 独立行政法人 情報処理推進機構

企業における業務データ取扱い実態調査 2014
ツール利用を禁止された従業員の半数以上が、過去1年間で禁止ツールを利用
2014年7月31日 トレンドマイクロ

サイバー攻撃で自社サイトが長期閉鎖したら?
ネットからの消滅を防ぐ方法
2014年7月28日 日経トレンディネット

ベネッセの情報漏えいから学ぶ情報管理
2014年7月25日 ZDNet Japan

Windows 8で搭載された仮想環境「Hyper-V」を有効にする
2014年7月15日 ASCII.jp

タブレット時代のワークスタイルを探る
仮想デスクトップで変わる企業のクライアント環境
2014年7月14日 クラウド Watch

社長に説明できるセキュリティ - 前向きなセキュリティ対策(2)BYODを怖れず正しく導入する
2014年4月25日 ITpro

社長に説明できるセキュリティ - 前向きなセキュリティ対策(1)働き方を変える
2014年3月31日 ITpro

企業向けオンラインストレージサービス7選(海外ベンダー編)
2014年3月26日 TechTargetジャパン クラウド

記者の眼 - 企業利用が増えてきたWindowsタブレット
2013年12月27日 ITpro

国内モバイル/クライアントコンピューティング機器 ビジネス利用実態調査結果を発表
2013年12月4日 IDC Japan

  • ・タブレットの利用用途と部門
    プレゼンテーション/商品説明用途
    営業部門(iPadで10.9%)、役員部門(同8.5%)、マーケティング部門(同7.5%)
  • ・タブレットを業務で利用する際の機種選択理由
    Android:「本体が安価」が50.8%、「既に導入済みと同一機種」が20.4%
    iPad:「既に導入済みと同一機種」が31.2%、「OSが安定」が23.7%、セキュリティ面でも高い評価
    Windows:「PCと同じベンダー」が43.4%、「Microsoft Officeが動作」が41.3%、「システムとの親和性が高い」が36.2%
  • ・タブレット導入時の必要条件
    1位:「長時間バッテリー駆動」が37.2%
    2位:「情報セキュリティの対策」が36.4%
    3位:「システム連携のための基幹側変更」が27.7%
    他、4位「軽量であること」が26.3%、7位「落下などに対するハードウェア堅牢性」が20.0%など、ポータビリティを重要視
SOHO/中小企業に効く「タブレット」の選び方

SOHO/中小企業に効く「タブレット」の選び方(第4回)
仕事に即戦力なタブレットを選んでみた――iPad以外も実力派モデルが続々
2014年2月6日 ITmedia PC USER

SOHO/中小企業に効く「タブレット」の選び方(第3回)
仕事がはかどるタブレットは、iOS、Android、Windowsのどれか?
2014年1月31日 ITmedia PC USER

SOHO/中小企業に効く「タブレット」の選び方(第2回)
iOS、Android、Windows──それぞれのタブレットを知って正しく選ぶ
2014年1月23日 ITmedia PC USER

SOHO/中小企業に効く「タブレット」の選び方(第1回)
タブレットはノートPCの代わりになる? ならない?
2014年1月15日 ITmedia PC USER

 

関連する情報(当サイト)

スマートフォン(タブレット)やPCのセキュリティ対策、簡易チェックリスト(プライベート編)
2013年12月15日

スマートフォンやタブレット端末の業務利用で、特に注意すべきセキュリティ対策
2012年9月20日

私有端末の業務利用(BYOD)に向けた課題とセキュリティ対策などの企業側の対策
2012年1月22日

私有端末の業務利用(BYOD)を取り巻く環境とメリット
2012年1月21日

 

トップに戻る

関連記事

前へ

「VITRO」アユートがAndroid搭載タブレット、「iPad Air」同等の9.7インチRetina相当搭載など3モデルを発売

次へ

「ThinkPad 8」LenovoがWindows8.1搭載(8.3インチ)タブレットを発表、CPU性能向上と高解像度を実現

Page Top