どこでも安全!

モバイル機器のセキュリティ確保の実践的ヒントを示すこと、それが本稿の目的である。会社の命運を決する重要な企業情報がモバイル・アプリケーションのせいで危険にさらされることがある。ここではそのプロセスを概観し、脅威を押さえ込むために企業が講ずべき対策を紹介する。

モバイル技術の進展で人々の仕事のスタイルは大きく変化した。どの業界でも移動中に社員が社内の情報にアクセスするのは当たり前で、極めて機密性の高い情報や法的にデリケートな情報にも簡単にアクセスできる。今日のモバイル機器の拡散はそのような段階に達している。これは会社の競争力アップに直結するが、これで時間とお金を節約してもセキュリティがだめなら元も子もない。

アクセス手段の提供とアクセスの認可、この2点がビジネスにおけるモバイル活用の柱となる。先頃、Forrester Researchの『Mobile Device Security in 2006』でモバイル・セキュリティの問題が取り上げられた。今年はモバイル機器をめぐるセキュリティ上の事件が紙面を賑わすことになる、同レポートはそう予言する。「モバイル機器は多くの企業ユーザーにとって必須のツールとなった。携帯端末や携帯電話がメール、カレンダー、予定管理、SFA(sales force automation)といったアプリケーションのために使われ、顧客や会社の機密データが危険にさらされている」

モバイル機器やモバイル・アプリケーションの利用が今後も拡大することを踏まえ、技術・管理系の専門家は企業がセキュリティ確保のために講ずべき対策を指摘してきた。

まず、モバイル機器のセキュリティ問題を企業経営のToDoリストの筆頭項目とすること。それにはモバイル機器に関して「業務システム(サーバー、デスクトップ、ラップトップ)と同期させる機器は、いかなる場合にも個人用機器と見なさず、会社のモバイル・セキュリティ・ポリシーの管理下に置くこと」との企業ポリシーを定義するとよい。これで、会社としてモバイル機器ポリシーを規定せざるを得なくなる!当然、これに不服なモバイル・ユーザーからは猛反発を受けるだろうが、会社としてはモバイル機器にメール、ファイル、カレンダー項目(会議内容が記されることが多い)、予定(人を騙して企業情報を手に入れるハッカーに手掛かりを与える)といった企業データが載っていると決めてかかるしかないのである。

さて、モバイル機器のセキュリティ・ポリシーを練らねばならぬとわかったので、ひとつ基本的なやり方を示しておく。モバイル機器プロジェクトのセキュリティ・ポリシーを初めて作るときは、まずモバイル機器をなぜ導入したいか理由を考えてみるとよい。その情報を踏まえ、企業データをどこまで散らすか、限界点を書き連ね、それをガイドラインの形に整理するのだ。どんなセキュリティ・ポリシーも基本の枠組みは2つの軸に支配される。ひとつは認可(許可を与えること)で、もうひとつは認証(真正の証明)である。この2軸は、企業風土に応じてスケールが変化する。モバイル機器を社内に導入する理由を問い、その上で、企業データに対する限界点を明らかにするのである。

セキュリティ・ポリシーは個々の機器の要件を規定する。一方、ガイドラインは企業のセキュリティ・ポリシーをより高い立場から記述し、指示書的性格を持つ。つまり、従うべきものではあるが、ハイレベルなものであって、個々の機器の構成内容にまでは必ずしも踏み込まない。このレベルの内容は認定機器ごとに標準ドキュメントで記述する。

セキュリティ・ポリシーを書くときは、技術的な実現可能性を無視すること。ガイドラインが完成した段階で、そのポリシーに適合するセキュリティ・ソリューションを評価し、必要なら評価後にガイドラインを手直しする。評価の結果、ガイドラインを満たせぬことが明らかとなったら、モバイル機器の導入を認めないかガイドラインを変更するか、よく考える必要がある。この判断はリスクを基準に行うべきで、技術面よりもビジネス面から検討することが大切である。

リスク評価の際に検討すべき項目は次のとおり。これがモバイル機器の利用ポリシーに落とし込まれる。

• 機器の認証
• リモート・データの破棄・無効化
• 機器の盗難・紛失

結論。企業におけるモバイルの役割を正当に評価することは大切だが、リスクや解決すべき課題があることも忘れてはならない。モバイル活用の成否は、その課題に取り組む企業の戦略に左右される。また、それは適切な調査と系統的な方法論に基づくものでなければならない。

Bindu Sundaresan、Pradeep Kanda: BearingPoint Inc.の経営・技術コンサルタント。ニューヨークのさまざまな公益事業会社を顧客に持つ。