モバイル機器とテレワークについて|付属書A管理目的及び管理策

この記事は約 4 分で読めます。


付属書A管理目的及び管理策についての解説コラム第三回目は「モバイル機器及びテレワーク」についてです。

モバイル機器・テレワークについては、第二回で解説した「内部組織の管理策」に含まれている項目です。これは、社外で活動している人についても、守るべき情報を扱っているのであれば、“組織の一員”として認識する必要がある為です。

モバイル機器の方針について

まずは、モバイル機器に関してです。

組織において“どのようにモバイル機器を取り扱うか”、規則の前に「方針」を定めておかなければなりません。

いつでもどこでも繋がる利便性はリスクとなる

現在のモバイル機器はPCとほぼ同等の作業を行うことが出来ます。

社内からのアクセスであれば、おそらく社内SEやベンダーの提供するネットワーク機器により、安全性が担保されていることでしょう。

社外にいる場合では、常に公衆ネットワークに接続されている状態だということを認識する必要があります。公衆ネットワークに接続されている以上、外部からの侵入の危険性も考えられますので「経路の安全」を確保しなければなりません。

接続経路に注意が必要

モバイル機器は、Wi-FiアクセスポイントやLTE回線等で公衆ネットワークに繋がっています。

通信業者が提供するLTEであれば、どのような経路で接続が行われるかが分かりますので、安全性の確保は社内からのアクセスと大きくは違いはありません。ですが、Wi-Fiで繋がる場合そのアクセスポイントが“安全である”と確認することは非常に困難です。

例えば、お手元のスマホで確認してみてください。アクセス可能なWi-Fiがあれば、そちらを経由する設定をしている方も多いのではないでしょうか。その方が、通信料金を安く抑えられますからね。

しかし、そのWi-Fiは本当に安全なのでしょうか。

Wi-Fiの安全性

WPA2などの、安全と呼べるレベルの暗号化が為されていれば問題ありません。しかし、多くのWi-FiではWEPといった簡単に破られてしまう暗号化手法が用いられていたり、そもそもID・パスワード不要のものも多数存在します。

最近話題になったものでは「ポケモンGO」の偽Wi-Fiの事例があります。

国内のマクドナルド約2,900店舗が「ジム」と「ポケストップ」に!『Pokémon GO』 & 日本マクドナルド単独ローンチパートナーシップ締結/日本マクドナルド

上記のファーストフードチェーンでは、無料のWi-Fiが提供されており、“ぜひチェーン店を利用し、通信料を気にせずポケモンGOをプレイしてください!”といったキャンペーンを行いました。

一見、店舗とユーザー双方にメリットのある施策に思えますが、これは情報セキュリティの面では非常に危険な問題を孕んでいます。この発表後、ネットでは無料Wi-Fiを悪用し情報を盗み取る手法が大量に出回ったのです。

Wi-Fiを悪用した情報搾取

方法は非常に簡単です。

  1. チェーン店が設定するWi-Fiアクセスポイント(A)と同名のアクセスポイント(B)を店内に用意する
  2. アクセスポイント(B)から接続された端末情報を盗む

チェーン店のWi-Fiアクセスポイントは、暗号化無しで接続可能と宣伝している為、偽のアクセスポイントとの見分けがつかず、結果的に危険なWi-Fiを経由し、その過程で端末内の情報が盗まれていくのです。

万が一、従業員がこのアクセスポイントを利用し、ビジネス関連の情報をやり取りしていたらと考えるとぞっとしますね。

規定の前段階としての方針が大切

このように、様々な危険性が考えられるモバイル機器の使用については、“具体的”な方針が必要不可欠です。

  • 安全なアクセスを確保する
  • 業務以外に使用しない

そして、従業員がなぜモバイル機器を利用するのか、その目的や状況を踏まえた、実用性を損なわない方針であることが望まれます。

テレワークの方針について

テレワークについても、モバイル機器の利用と同様です。

就労形態の多様化から、在宅で業務を行う従業員も増加しています。自宅のネットワークセキュリティを一定レベルに保つことは大前提ですが、家族・同居者とのセキュリティ意識の共有も必須です。

こちらも、在宅勤務の生産性を損なわない方針設定が重要です。

まとめ

それぞれの管理策については、社内と環境が違うのですから、必要な方針や規則も違ってくるはずです。特に近年使用頻度が急激に増加したモバイル機器に関しては意識する必要がありますね。

次回は、情報セキュリティにおいて最重要とも言える“人”の問題「人的資源のセキュリティ」について解説をいたします。

星野靖裕
金融機関にて、融資管理・情報システム開発に従事。経営・現場双方の視点を備え、効果的なマネジメントシステムの構築を指導。人員一桁から数千人の一部上場企業まで幅広くコンサルティングを行う。    >プロフィール詳細はこちら

こちらのページもご覧ください。

メルマガ会員登録(無料PDFプレゼント)

メルマガ会員登録をしていただくと下記PDFもプレゼント!
0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策ハンドブック

企業における情報漏洩対策として重要な、セキュリティ対策のための知識として基本的な「まずは知っておくべき内容!」をピックアップし、約40ページのPDFに整理いたしました!

その具体的な内容は、


img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラから