モバイルセキュリティ

モバイルセキュリティに関する情報をご紹介させていただきます。

スマートデバイス導入と情報漏えい対策

 情報漏えいの原因(=脅威)にはいくつかあり、その脅威に合わせて様々な対策ツールが提供されています。スマートデバイス導入時、セキュリティの対策を行う上で、まずはどのような脅威とリスクがあるのかを把握することは重要です。

 以下に、スマートデバイスを利用する上での主な脅威とリスクを挙げます。スマートデバイス導入の目的や守るべき情報等によって、とるべき対策は異なりますのでご参照ください。

No.脅威リスク対策
1 盗難、紛失
  • デバイスに保存されている情報の漏えい
  • イントラネットへのアクセス
  • データを暗号化する
  • 端末へデータを保存しない
  • 盗難、紛失時にデータの遠隔削除を行う
  • 端末の画面ロックを有効にする
2 故障
  • データの消失
  • データを定期的にバックアップする
3 覗き見
  • 情報の漏えい
  • パスワードの漏えい
  • 覗き見防止シートを装着する
  • 画面ロック用パスワードは、他のパスワードとは異なるものにする
4 誤操作
  • メールの誤送信
  • 不正サイトアクセスによる情報漏えい
  • 慎重に操作するよう注意を喚起する
5 脆弱性
  • 脆弱性を突いた不正アプリケーションによる情報情報漏えい
  • 使用するデバイスや OS の種類を絞り込む
  • 端末を常に最新の状態にする(バージョンアップは必ず実施する)
6 不正アプリケーション
  • 不正アプリケーションによる情報漏えい
  • 余計な電池の消耗
  • SMSスパムの大量送信
  • 信頼できるマーケットからアプリケーションを入手する
  • インストール時にアクセス許可を確認する
  • ホワイトリスト、ブラックリストによる制限をかける
  • ウイルス対策ソフトを利用する
7 不正サイト
  • 架空請求
  • パスワードの漏えい
  • ホワイトリスト、ブラックリストによる制限をかける
  • 不用意にメールや SNS に張られている URL へ接続しない
  • セキュリティ対策ソフトのウェブフィルタリング機能を利用する
8 利用者の知識不足や端末の改造
  • データの消失
  • 不正アプリケーションへの感染
  • 端末のバージョンアップの非サポート
  • 運用ルールを設定する
  • 定期的な教育を実施する
  • ルール違反時の罰則を設ける

スマートデバイスから漏えいする可能性がある情報一覧

 スマートデバイスから漏えいする可能性がある情報としては、以下が挙げられます。

  • 端末の情報(所有者名、各種ID、電話番号、メールアドレスなど)
  • アドレス帳(名前、電話番号、メールアドレス、会社名など)
  • 位置情報
  • コンテンツデータ(写真、音楽、動画など)
  • ファイルデータ(word、excel、ppt、pdfを含む全てのファイル)

 アドレス帳は顧客情報を、写真や動画は社内の機密情報を含むケースがあり、万が一情報が漏えいした場合の企業へ損害は計り知れません。

モバイルセキュリティと暗号化技術

なぜ「暗号化」が必要なのか?

 スマートデバイスの企業導入で最大のリスクは「情報漏えい」です。社員のちょっとした操作ミスが顧客情報の漏えいから損害賠償に至れば、企業の被害は甚大です。しかし漏えいしたデータが暗号化されていれば、第3者はそれを読み解く事は出来ません。「暗号化」は情報漏えい対策の最後の砦です。

 IPA(独立行政法人情報処理推進機構)では、情報漏えい対策での暗号化の必要性や、その仕組みが分かりやすくまとめたマニュアルが公開されています。是非ご覧ください。

「情報漏えいを防ぐためのモバイルデバイス等設定マニュアル ~安心・安全のための暗号利用法~解決編 」より抜粋

  • 端末ロック設定するだけでは、入力操作をロックしているだけなので不十分。
  • 端末を紛失したなどの万が一の際、情報漏えいを防ぐ最後の砦となるのは「情報が暗号化されていたかどうか」である。
  • 暗号アルゴリズム自体の脆弱性が悪用されるケースもあるため、強固なアルゴリズムを利用する必要がある。
  • 総務省及び経済産業省が公表している電子政府推奨暗号リストに掲載されている暗号アルゴリズムを採用している暗号製品・システムを選択することを推奨する。
  • ウイルス感染や不正アクセスによる情報流出の場合、ファイル単位で暗号化を行う「ファイル暗号化」以外では情報の保護ができない。

IPA 「情報漏えいを防ぐためのモバイルデバイス等設定マニュアル」

より強固な暗号化技術とは?

 技術的に安全性が確認された「日本の標準暗号」を示すリストとも言えるのが「電子政府における調達のために参照すべき暗号リスト(CRYPTREC暗号リスト)」です。同リストは、電子政府で用いる暗号方式を評価・調査するプロジェクトであるCRYPTRECが発表しているもので、策定から10年が経過したことを受けて近年再評価され、2013年3月に発表されました。K2filemanagerで使用している高速ストリーム暗号「KCipher-2」も共通鍵暗号として選定されています。

総務省・経済産業省「CRYPTREC暗号リスト」

 

 東京システムハウスでは、暗号技術の実装面について10年以上研究を重ねており、常に新しい環境での高速化・安全性強化について追及しています。2013年には、独自の鍵の隠蔽技術を考案し、特許出願致しました。

KSラボ 暗号コラムをご参照ください(別ページ)

BYOD導入とシャドーIT

 スマートフォンやタブレット端末の急速な普及を背景に、社員の私用端末を業務に利用する「BYOD(Bring Your Own Device)」が注目されています。しかし導入のためには、利用者のプライバシーや端末管理など、私用端末ならではの検討課題もあります。最近では、社員が規則に反して私物スマホ端末を使用する”シャドーIT”も危惧されており、ただ使用を禁止するだけは社内データの保護は難しくなってきています。

 そこで重要となってくるのがBYOD導入の際の就業規則です。一般社団法人コンピュータソフトウェア協会(略称「CSAJ」)では、BYOD導入の際に必要な、セキュリティーポリシーの第一版を公開しました。個人所有のスマートデバイスを活用するために、就業規則の一部である社内規定や教育が必要であることから策定されたものであり、管理規程、申請書類、具体的な管理指針(セキュリティポリシー)のサンプルが掲載されています。BYODを導入するにあたり、セキュリティ対策を考慮した社内規定を 整備するために大変参考になる資料です。弊社もCSAJセキュリティ研究会のメンバーとして執筆しています。是非ご一読ください。

CSAJ「「BYOD」導入検討企業向けに私有スマートデバイス取扱規程及びスマートデバイス・セキュリティポリシーサンプルを策定」

ページのトップへ戻る