モバイル機器とテレワークについて|付属書A管理目的及び管理策

[更新]
モバイル機器とテレワークについて|付属書A管理目的及び管理策



付属書A管理目的及び管理策についての解説コラム第三回目は「モバイル機器及びテレワーク」についてです。

モバイル機器・テレワークについては、第二回で解説した「内部組織の管理策」に含まれている項目です。これは、社外で活動している人についても、守るべき情報を扱っているのであれば、“組織の一員”として認識する必要がある為です。

モバイル機器の方針について

まずは、モバイル機器に関してです。

組織において“どのようにモバイル機器を取り扱うか”、規則の前に「方針」を定めておかなければなりません。

いつでもどこでも繋がる利便性はリスクとなる

現在のモバイル機器はPCとほぼ同等の作業を行うことが出来ます。

社内からのアクセスであれば、おそらく社内SEやベンダーの提供するネットワーク機器により、安全性が担保されていることでしょう。

社外にいる場合では、常に公衆ネットワークに接続されている状態だということを認識する必要があります。公衆ネットワークに接続されている以上、外部からの侵入の危険性も考えられますので「経路の安全」を確保しなければなりません。

接続経路に注意が必要

モバイル機器は、Wi-FiアクセスポイントやLTE回線等で公衆ネットワークに繋がっています。

通信業者が提供するLTEであれば、どのような経路で接続が行われるかが分かりますので、安全性の確保は社内からのアクセスと大きくは違いはありません。ですが、Wi-Fiで繋がる場合そのアクセスポイントが“安全である”と確認することは非常に困難です。

例えば、お手元のスマホで確認してみてください。アクセス可能なWi-Fiがあれば、そちらを経由する設定をしている方も多いのではないでしょうか。その方が、通信料金を安く抑えられますからね。

しかし、そのWi-Fiは本当に安全なのでしょうか。

Wi-Fiの安全性

WPA2などの、安全と呼べるレベルの暗号化が為されていれば問題ありません。しかし、多くのWi-FiではWEPといった簡単に破られてしまう暗号化手法が用いられていたり、そもそもID・パスワード不要のものも多数存在します。

最近話題になったものでは「ポケモンGO」の偽Wi-Fiの事例があります。

国内のマクドナルド約2,900店舗が「ジム」と「ポケストップ」に!『Pokémon GO』 & 日本マクドナルド単独ローンチパートナーシップ締結/日本マクドナルド

上記のファーストフードチェーンでは、無料のWi-Fiが提供されており、“ぜひチェーン店を利用し、通信料を気にせずポケモンGOをプレイしてください!”といったキャンペーンを行いました。

一見、店舗とユーザー双方にメリットのある施策に思えますが、これは情報セキュリティの面では非常に危険な問題を孕んでいます。この発表後、ネットでは無料Wi-Fiを悪用し情報を盗み取る手法が大量に出回ったのです。

Wi-Fiを悪用した情報搾取

方法は非常に簡単です。

  1. チェーン店が設定するWi-Fiアクセスポイント(A)と同名のアクセスポイント(B)を店内に用意する
  2. アクセスポイント(B)から接続された端末情報を盗む

チェーン店のWi-Fiアクセスポイントは、暗号化無しで接続可能と宣伝している為、偽のアクセスポイントとの見分けがつかず、結果的に危険なWi-Fiを経由し、その過程で端末内の情報が盗まれていくのです。

万が一、従業員がこのアクセスポイントを利用し、ビジネス関連の情報をやり取りしていたらと考えるとぞっとしますね。

規定の前段階としての方針が大切

このように、様々な危険性が考えられるモバイル機器の使用については、“具体的”な方針が必要不可欠です。

  • 安全なアクセスを確保する
  • 業務以外に使用しない

そして、従業員がなぜモバイル機器を利用するのか、その目的や状況を踏まえた、実用性を損なわない方針であることが望まれます。

テレワークの方針について

テレワークについても、モバイル機器の利用と同様です。

就労形態の多様化から、在宅で業務を行う従業員も増加しています。自宅のネットワークセキュリティを一定レベルに保つことは大前提ですが、家族・同居者とのセキュリティ意識の共有も必須です。

こちらも、在宅勤務の生産性を損なわない方針設定が重要です。

まとめ

それぞれの管理策については、社内と環境が違うのですから、必要な方針や規則も違ってくるはずです。特に近年使用頻度が急激に増加したモバイル機器に関しては意識する必要がありますね。

次回は、情報セキュリティにおいて最重要とも言える“人”の問題「人的資源のセキュリティ」について解説をいたします。

ゼロから始めるセキュリティ対策!
セキュリティチェック25
img_pdf

「セキュリティ対策」はインターネットを利用する全ての企業にとって必須

大企業であればお金をかけてしっかりとした対策に取り組めますが、
そんな予算もない中小企業の方々は、「セキュリティ対策が必要だとわかっていても何をすれば良いかわからない、、、」という方も多いはず。

そんな中小企業の方々、
特に50名以下の企業の社長、IT担当者、総務部担当者の方々は絶対に知っておきたい!自分でできるセキュリティ対策がチェックできるA4サイズ1枚にまとめた25項目のセキュリティチェックシートです。

メルマガ登録で無料ダウンロード!
無料ダウンロードはコチラ
星野靖裕

金融機関にて、融資管理・情報システム開発に従事。経営・現場双方の視点を備え、効果的なマネジメントシステムの構築を指導。人員一桁から数千人の一部上場企業まで幅広くコンサルティングを行う。
  
>プロフィール詳細はこちら

こちらのページもご覧ください。

セキュリティ診断サービス

あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配...
サイバー攻撃されて問題になる前にしっかりチェック!

標的型メール訓練サービス

近年増え続ける標的型攻撃の対策はできてますか?社長だけが大丈夫でも社員全員の意識を上げないと、メールが来たら1/3も...

セキュリティ人材の育成に

今後不足すると言われているセキュリティ人材の確保を早めに対応しませんか?たった2日で学べる集中コース!

情報セキュリティ監査

150,000円のセキュリティ監査!専属担当者の採用は難しいけど、セキュリティが心配...という方必見です。

メルマガ会員登録募集中

中小企業向けセキュリティチェックシートプレゼント!その他特典多数!詳細はこちらをクリック!

「重要インフラにおける情報セキュリティ確保」対策指針第5版について

IPA調査報告から見える、日本の「ITサプライチェーン管理」の実態

成立となるか?「サイバーセキュリティ基本法改正案」について

作者:   法令・計画等