アドバイザリー

情報セキュリティポリシーを改訂していますか?
~モバイルデバイスへの対応~

2013.06.26
竹中 淳一
竹中 淳一
新日本有限責任監査法人
ITリスクアドバイザリー部 マネージャー
システム監査技術者
監査法人入所後、情報システムに関わる内部統制の構築・評価・監査業務に携わる。現在は監査業務を中心に多数のクライアントを受け持つほか、システム導入や業務改善、情報セキュリティに関するアドバイザリー業務等にも従事。


スマートフォンやタブレット端末などのモバイルデバイスの利用が日本の企業でも普及してきました。しかし、このような状況に対応して情報セキュリティポリシー(以下「ポリシー」という)を改訂している企業はまだ少ないのが現状です。EYが2012年に実施した「グローバル情報セキュリティサーベイ(Global Information Security Survey)」でも、グローバルでは52%の企業でポリシーが改訂されていますが、日本では35%の企業にとどまっています(図1)。

(下の図をクリックすると拡大します)

図1:モバイルコンピューティングに関するコントロール

出典:2012年度 グローバル情報セキュリティサーベイ

本稿では、モバイルデバイス普及に伴うポリシー改訂の必要性、改訂する際のポイント、および改訂と併せて実施すべき事項について、簡単にまとめていきたいと思います。

ポリシー改訂の必要性

そもそもモバイルデバイスの普及に伴って、なぜポリシーを改訂する必要があるのでしょうか。
ポリシーの策定・改訂した時期によっては、モバイルデバイスの登場は予期されていなかったため、ポリシーに規定されている事項が現状に即していない可能性があります。モバイルデバイスでできることは従来の携帯電話とは異なります。例えば、FlashやJavaScript等を使用したWebサイトの閲覧やアプリをダウンロードした機能拡張等が可能な上、従来のPCより携帯性が高いため、従来のポリシーで規定されている携帯電話やPCの管理方法をそのままモバイルデバイスにも適用できるのかという問題が発生します。
さらに、BYOD(Bring Your Own Device:個人所有の端末を業務で利用)を認めるか、会社貸与のみに限定するか、業務使用を全面的に禁止するかなど、モバイルデバイスの使用方針についても各社で異なっています。

モバイルデバイスにあったポリシーに改訂しなければ、モバイルデバイスが起因となったセキュリティ事故を生じさせてしまう可能性があります。それでは、どのようにポリシーを改訂していけばいいのでしょうか。

ポリシー改訂のポイント

モバイルデバイス利用に際するポリシーの改訂としては、以下がポイントとして挙げられます。

① 適用範囲を明確にする
ポリシーの対象となるデバイスを明確にする必要があります。対象となるデバイスを明確化しておかないと、そのモバイルデバイスがポリシー適用の対象なのかどうか曖昧となり、ポリシーを策定する効果が望めません。また、近年、海外だとBYODを導入する会社も増えており、今後、日本の企業でも導入されていくケースが増えていく可能性があります。個人所有の端末が対象となるのかどうかも記載しておいた方がいいでしょう。
以下は、ポリシーの適用範囲の例になります。

  業務利用 個人利用
会社貸与端末 ポリシーに定める 個人利用は禁ずる
個人所有端末 ポリシーに定める
(BYODを許可)
ポリシー対象外

②モバイルデバイス利用に関するリスクを識別し、リスクに応じた遵守事項を記載する
モバイルデバイスを業務にどれだけ利用しているかは、個々の会社によって異なります。利用範囲が広ければ、リスクも大きくなるでしょうし、社内メールの閲覧のみであればリスクは低くなります。リスクに応じた対策を講じるためにも、まずはリスクの識別を行い、その後でリスクに応じた遵守事項を決めていく必要があります。
以下に、上記①の業務利用におけるリスクと遵守事項の例をいくつか挙げます。

識別したリスクの例 対応する遵守事項の例
利用者以外によってデバイスにアクセスされるリスク モバイルデバイスにアクセスする際のパスワードの桁数・有効期間
不正なWebサイトにアクセスして、ウイルス感染してしまうリスク 不要なWebサイトへのアクセス制限
モバイルデバイスの紛失・盗難により、データが社外に流出するリスク
  • リモートでデータを強制的に削除
  • 業務データのダウンロード禁止(入力端末としての使用に限定)
不適切なアプリケーションをダウンロードすることにより、利用者が意図しないうちにデータが流出するリスク
  • 業務データのダウンロード禁止(入力端末としての使用に限定)

(以下は、会社貸与端末の場合)

  • 業務用アプリケーション以外のダウンロード禁止
位置情報取得機能により、取引先等の位置情報が他人に知られるリスク 位置情報取得機能の利用禁止
BYODの場合、個人所有端末のため、会社貸与端末の場合と同様の制御を行えないリスク 会社主導の制御に関する同意書の入手

ここまで、ポリシーを改訂する際のポイントを記載してきましたが、ポリシーを改訂しただけでは十分な効果は得られません。ポリシーを絵に描いた餅に終わらせないためには、次項で挙げるような対策を併せて実施する必要があります。

ポリシー改訂と併せて実施すべき事項

ポリシーを改訂した後は、下記のような対策を講じることで、ポリシーが有効に機能します。

① ポリシーの周知
ポリシーを改訂した後は、ポリシーを従業員に周知徹底する必要があります。研修等を通して、モバイルデバイスのリスクと、それを回避するためにはポリシーを遵守しなければならないことを従業員に十分に理解してもらわなければなりません。

② ポリシーの理解度チェック
ポリシーを周知させただけでは、従業員の理解度に不安を感じる場合は、ポリシーを周知後、定期的にテストを行う等、理解度をチェックするといった手続も有効です。

③ ポリシーの違反チェック
①、②を実施しても、ポリシー違反者は出てくるかもしれません。その場合は、内部監査部門や外部機関を利用して、ポリシーに違反した者がいないかどうかをチェックするような手続が有効です。また、違反チェックしていることを従業員に周知徹底することで、ポリシー違反のけん制にもなります。

モバイルデバイスを含めた情報技術というのは日々目覚ましい勢いで発展しています。ポリシーを日々改訂していくことは難しいですが、ポリシーを策定・改訂するだけではなく、定期的に改訂を検討することが必要です。





情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?