サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

モバイル機器とテレワークについて|付属書A管理目的及び管理策



付属書A管理目的及び管理策についての解説コラム第三回目は「モバイル機器及びテレワーク」についてです。

モバイル機器・テレワークについては、第二回で解説した「内部組織の管理策」に含まれている項目です。これは、社外で活動している人についても、守るべき情報を扱っているのであれば、“組織の一員”として認識する必要がある為です。

モバイル機器の方針について

まずは、モバイル機器に関してです。

組織において“どのようにモバイル機器を取り扱うか”、規則の前に「方針」を定めておかなければなりません。

いつでもどこでも繋がる利便性はリスクとなる

現在のモバイル機器はPCとほぼ同等の作業を行うことが出来ます。

社内からのアクセスであれば、おそらく社内SEやベンダーの提供するネットワーク機器により、安全性が担保されていることでしょう。

社外にいる場合では、常に公衆ネットワークに接続されている状態だということを認識する必要があります。公衆ネットワークに接続されている以上、外部からの侵入の危険性も考えられますので「経路の安全」を確保しなければなりません。

接続経路に注意が必要

モバイル機器は、Wi-FiアクセスポイントやLTE回線等で公衆ネットワークに繋がっています。

通信業者が提供するLTEであれば、どのような経路で接続が行われるかが分かりますので、安全性の確保は社内からのアクセスと大きくは違いはありません。ですが、Wi-Fiで繋がる場合そのアクセスポイントが“安全である”と確認することは非常に困難です。

例えば、お手元のスマホで確認してみてください。アクセス可能なWi-Fiがあれば、そちらを経由する設定をしている方も多いのではないでしょうか。その方が、通信料金を安く抑えられますからね。

しかし、そのWi-Fiは本当に安全なのでしょうか。

Wi-Fiの安全性

WPA2などの、安全と呼べるレベルの暗号化が為されていれば問題ありません。しかし、多くのWi-FiではWEPといった簡単に破られてしまう暗号化手法が用いられていたり、そもそもID・パスワード不要のものも多数存在します。

最近話題になったものでは「ポケモンGO」の偽Wi-Fiの事例があります。

国内のマクドナルド約2,900店舗が「ジム」と「ポケストップ」に!『Pokémon GO』 & 日本マクドナルド単独ローンチパートナーシップ締結/日本マクドナルド

上記のファーストフードチェーンでは、無料のWi-Fiが提供されており、“ぜひチェーン店を利用し、通信料を気にせずポケモンGOをプレイしてください!”といったキャンペーンを行いました。

一見、店舗とユーザー双方にメリットのある施策に思えますが、これは情報セキュリティの面では非常に危険な問題を孕んでいます。この発表後、ネットでは無料Wi-Fiを悪用し情報を盗み取る手法が大量に出回ったのです。

Wi-Fiを悪用した情報搾取

方法は非常に簡単です。

  1. チェーン店が設定するWi-Fiアクセスポイント(A)と同名のアクセスポイント(B)を店内に用意する
  2. アクセスポイント(B)から接続された端末情報を盗む

チェーン店のWi-Fiアクセスポイントは、暗号化無しで接続可能と宣伝している為、偽のアクセスポイントとの見分けがつかず、結果的に危険なWi-Fiを経由し、その過程で端末内の情報が盗まれていくのです。

万が一、従業員がこのアクセスポイントを利用し、ビジネス関連の情報をやり取りしていたらと考えるとぞっとしますね。

規定の前段階としての方針が大切

このように、様々な危険性が考えられるモバイル機器の使用については、“具体的”な方針が必要不可欠です。

  • 安全なアクセスを確保する
  • 業務以外に使用しない

そして、従業員がなぜモバイル機器を利用するのか、その目的や状況を踏まえた、実用性を損なわない方針であることが望まれます。

テレワークの方針について

テレワークについても、モバイル機器の利用と同様です。

就労形態の多様化から、在宅で業務を行う従業員も増加しています。自宅のネットワークセキュリティを一定レベルに保つことは大前提ですが、家族・同居者とのセキュリティ意識の共有も必須です。

こちらも、在宅勤務の生産性を損なわない方針設定が重要です。

まとめ

それぞれの管理策については、社内と環境が違うのですから、必要な方針や規則も違ってくるはずです。特に近年使用頻度が急激に増加したモバイル機器に関しては意識する必要がありますね。

次回は、情報セキュリティにおいて最重要とも言える“人”の問題「人的資源のセキュリティ」について解説をいたします。

企業向けインフラエンジニア講座 個人向けエンジニア研修




書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。