モバイル・セキュリティにおけるBYODという考え方
BYODとセキュリティ~企業のポリシー策定が鍵!?
BYODというキーワードが出てきましたので、これについて少し触れておきたいと思います。
私は会社からスマートフォンが支給されていますが、まだ全社員にまでは至っておりませんし、みなさんの会社も同じ様なものかもしれません。会社が全社員分のスマートフォンを購入し支給するというのはコスト的に厳しいですよね、このご時勢。
そこで、BYODの登場となるわけです。企業は個人所有のモバイル機器でも企業ネットワークにアクセスすることを許す選択をします。しかし、それと引き換えにセキュリティ・リスクを負わなければなりませんので、モバイル機器のセキュリティはもちろんのこと、そもそも導入する前に企業ポリシーをきちんと策定しておく必要があるでしょう。
ここでモバイル機器のセキュリティ・リスクとしてどのような脅威があるのか、その一例を挙げてみます。
- マルウェア:
- 先に触れましたようにスマートフォンやタブレット端末は急速に普及しています。ハッカーもこれを見逃すはずがありません。PC環境と同様にマルウェアの対策というのは必要です。
- 盗難/紛失:
- PC並の機能に加え、高い可搬性もこれだけ普及している理由と思われます。しかし盗難や紛失、置き忘れというリスクも当然高まるので対策が必要です。
- データ通信のハッキング:
- PCのネットワーク通信とは異なる、モバイル機器の通信に対するセキュリティ対策が必要です。
こうしてみると、PC環境同様のマルウェア対策、モバイル機器自体の管理、モバイル通信/アクセスのセキュリティといったあたりが必要な対策のように思えます。少し見えてきたでしょうか。みなさんもイメージできたでしょうか?
図2:企業におけるモバイル機器利用実態とセキュリティ・リスク(クリックで拡大) (Source:KRC Research and Juniper Mobile Threat Center) |
まずはマルウェアついて見ていきましょう。筆者の所属するジュニパーネットワークスには、モバイル機器のプラットフォームとテクノロジーに特化し、24時間態勢でセキュリティ、脆弱性、およびマルウェアの研究を行っている世界で唯一の「CERT形式」の組織『モバイル脅威センター:Mobile Threat Center(以下、MTC)』を自社内に有していますが、そのMTCのレポートによれば、2011年の調査結果から、全世界において2011年のモバイル・マルウェアは全プラットフォームの集計で2010年比155%のペースで増加したということです。
さらに現在スマートフォン市場のトップシェアを誇るAndroid OSをターゲットにしたマルウェアは、直近7ヶ月だけで3,325%の増加だと言うのです!Androidの成功要因である「オープン性」が新しいリスクの原因ともなったとMTCでは見ています。
図3:Androidマルウェアの増加数とスマートフォン市場シェア(2011年自社調べ)(クリックで拡大) |
これだけマルウェアのリスクがある中、BYODを検討・導入しようとなると、きちんとしたポリシーの策定とセキュリティ・ツールの導入が必要になります。さらに上記で触れた、デバイスそのものの管理や通信の安全性、モバイル機器と従来のPC環境との一貫性などを十分考慮した上でのツール選定が必要になるでしょう。最近はモバイル機器からも業務アプリケーションの利用が可能となり、企業の重要なデータへのアクセス、共有も可能となっているようです。スマート・デバイス向けのクラウド型ストレージ・サービスも普及してきていますね。
こういった状況になると、ポリシーを策定して、誰がどの機器からどのアプリケーションを利用できるのか、どのデータにアクセスできるのか、ダウンロードの可否はどうか、といったPC環境同様の高いレベルでのセキュリティが必要となります。