セキュリティ事故は企業の信用問題に。対策はルールづくりとシステムの両輪で

多くの企業がスマートフォンを活用する一方で、そのセキュリティ対策は遅れているという事実を前回のコラムでご紹介しました。特に中堅・中小企業は人手やコストの問題から、セキュリティ対策に手がついていないという実態が浮き彫りになっています。

では、どのようなセキュリティ事故が起こり得て、どのような対策をしていれば事故発生のリスクが軽減できるのでしょうか。

従業員がスマートフォンを紛失した際、起こり得る最悪のシナリオとは?

モバイル端末のセキュリティで、大きな問題となるのが紛失/盗難です。では、実際に従業員がスマートフォンを紛失したらどんなことが起こりうるでしょうか。

1. 社員の名簿・連絡先の流出
2. 取引先のリスト・連絡先の流出
3. 社内サーバー・システムへのアクセスによる社内情報の流出
4. スマートフォンに記録されているビジネス上の機密の流出
5. スマートフォンを経由したウィルス・マルウェアによるサイバー攻撃

代表的なものだけでも、これだけ挙がります。もっと詳細に挙げていけばきりがありません。1.2.の社内の名簿や連絡先の流出、取引先の連絡先の流出は、企業の信用に関わる問題です。単に迷惑メールや電話が増えるだけでも、大きな信用失墜です。取引先に社員のスマートフォンの紛失による情報流出があったことが知られるだけでも、取引停止などの事態が想定できます。
3.4.5.も同様に深刻です。社内の機密情報の流出は大きなダメージとなります。仮に顧客名簿が流出したとなれば、社会問題にもなりかねません。どれをとっても大きなダメージになることは間違いないでしょう。

端末の画面ロック機能は必須

端末が盗難にあったり、紛失したりしても第三者が勝手に操作できないように、画面のロック機能は必ず設定しましょう。ロック機能を設定しておくだけでも、万が一の際のリスクを軽減できます。

また、ロック機能をセットする際は容易に想像できるパスワードは避けましょう。生体認証を搭載した機種であれば問題ありませんが、パスワードでロックを設定する機種の場合は、「123456」のようなパスワードはロックを解除されるおそれがあります。

紛失したら、探す前に連絡、ロックを徹底する

モバイルセキュリティ分野で最先端をいくLookout,Inc. (米国) が2014年に行った調査では、日本では約23%のスマートフォンユーザーが、スマートフォンの紛失を経験していると答えています。これはアメリカで行った同様の調査での30%、イギリスでの35%などと比較すると低い数字ですが、5人に1人以上がスマートフォンを紛失した経験があると言う数字は、セキュリティ上は非常にリスクがあるといえます。
そこで、紛失しないような工夫は当然ながら『スマートフォンは紛失するもの』という前提に立ち『万一のときの対策手順』を決めておく必要があります。

最低でも上記のような手順を決め、スマートフォンを持つ全員・関連部署に徹底しておく必要があります。基本となるのは『探す・見つける』のではなく、『戻らないという前提に立つこと』です。そして、きちんと上記のような対応をしつつ、警察などの関連機関、取引先などに連絡する必要があります。その連絡の際に『どのような措置をとっているか』をきちんと報告できるようにしていれば、無用に信用を失墜する危険は少なくなるでしょう。

紛失時の対応はスピードが重要。簡単に管理できるMDMを活用

迅速にスマートフォン紛失時に遠隔ロックなどの措置を実行するには、適切な管理ツールが必要です。MDM (モバイルデバイス管理) と呼ばれるツールが一般的で、紛失などのセキュリティ対策だけではなく、日常的なスマートフォンの管理も効率化する機能を持つものがほとんどです。MDMを活用すれば、パソコンからすぐに遠隔ロックなどの措置を実行できますし、紛失後にそのスマートフォンが使われているかどうかも確認することができます。紛失後にどのような事象 (情報漏えいなど) が起こっているか、確認できるのです。スマートフォンを活用するならば、効率の面でもセキュリティの面でも、MDMの導入は必須だと言えます。
また、スマートフォンの紛失は日中だけとは限りません。夜間など、業務時間外では対応が遅れてしまいます。そこで、スマートフォンの管理などをアウトソーシングすることも考えられます。多忙な情報システム部門の担当者をスマートフォンの管理から開放し、他業務にリソースをあてられるようになるでしょう。

適切に運用するルール作りと、万一のときの遠隔ロックの仕組みが必要

繰り返しになりますが、従業員各自がスマートフォンに画面のロック機能セットすることのルール化とルール厳守の徹底。管理側ではMDMソフトを導入し、遠隔監視・遠隔ロック・遠隔データ消去が行えるようにする。万一の際には、速やかに遠隔でスマートフォンの中のデータ・アプリケーション、社内のシステムへのアクセス権限も消去する。最悪の事態を想定してこれらの対応を行うことで、セキュリティ事故のリスクを低くすることが可能になるのです。