業務用の効率を上げるため自分のデバイスを持ち込む、いわゆるBYODが増えています。今後、スマートフォンやタブレットの所有が個人レベルで増えていくことによって、さらに増えていくことになるでしょう。
しかし、BYODには情報漏洩などの問題が存在します。これは単に個人用デバイスだからセキュリティが甘いというわけではなく、個人の設定ミスから起こる場合が多いという記事をガートナーが公開しました。
個人のデバイスを使用している身としては気になるので、読んでみました。
モバイルアプリの設定ミスによるセキュリティ侵害は75%に?
ガートナーによれば、2014年には約22億台のスマートフォンとタブレットが販売されるとしています。そして、2017年にこれらのモバイルデバイスで起きるであろうセキュリティの侵害は、アプリの設定ミスによって発生すると予測しています。
主席アナリストのDionisio Zumerle氏によれば、モバイルデバイスのセキュリティ侵害は、技術的な攻撃よりも、アプリケーションレベルの設定ミスや誤使用の場合が多いようです。例えば、スマートフォンやタブレットの個人用クラウドサービスの誤使用があげられ、企業用のデータをクラウド上に保存するときに、データ漏えいを引き起こす可能性が高いとのこと。
また、iOSにおけるJailbreak(いわゆる脱獄)や、Androidにおけるルート化はセキュリティレベルを低下させてしまうため、BYODで使用する端末には施さないよう注意を呼びかけています。
以上の点を踏まえて、ガートナーは5つの注意事項をまとめました。
- 社員にポリシーへ許諾してもらい、許諾した時から変更が生じたときはアクセス制限を取り消せるようにする。また、会社で提供したデバイスを持っていないユーザーは、アクセスできない、もしくは権限を限定する必要があります。
- パスワードを強固なものにするだけでなく、入力回数を限定したり、タイムアウトの時間を設定する。
- 利用できるプラットフォームやOSを制限する。さらに、サポートやアップデートが終了したものは利用を不可にする。
- Jailbreakやルート化すること、非公式なアプリストア(Cydiaなど)の使用を禁止する。これらの行為を行っているデバイスについては接続できないようにする、データを削除する、ポリシーの選択に追加するといった処置を行う。
- 業務上で使用するメール、VPNへのアクセスは、署名のあるアプリか証明書を必須とする。
最後に
個人の端末である以上、使い方が甘くなってしまう場合も多々ありますが、仕事でも使用するのであれば設定や使い方に気をつけたいものです。
みなさんの会社のBYOD規則はどうなっていますか? ガートナーの注意事項とあわせて、もう一度確認してみましょう!
(Photo: Firefox Mobile by Johan Larsson)