無料会員登録
付属書A管理目的及び管理策についての解説コラム第三回目は「モバイル機器及びテレワーク」についてです。
モバイル機器・テレワークについては、第二回で解説した「内部組織の管理策」に含まれている項目です。これは、社外で活動している人についても、守るべき情報を扱っているのであれば、“組織の一員”として認識する必要がある為です。
モバイル機器の方針について
まずは、モバイル機器に関してです。
組織において“どのようにモバイル機器を取り扱うか”、規則の前に「方針」を定めておかなければなりません。
いつでもどこでも繋がる利便性はリスクとなる
現在のモバイル機器はPCとほぼ同等の作業を行うことが出来ます。
社内からのアクセスであれば、おそらく社内SEやベンダーの提供するネットワーク機器により、安全性が担保されていることでしょう。
社外にいる場合では、常に公衆ネットワークに接続されている状態だということを認識する必要があります。公衆ネットワークに接続されている以上、外部からの侵入の危険性も考えられますので「経路の安全」を確保しなければなりません。
接続経路に注意が必要
モバイル機器は、Wi-FiアクセスポイントやLTE回線等で公衆ネットワークに繋がっています。
通信業者が提供するLTEであれば、どのような経路で接続が行われるかが分かりますので、安全性の確保は社内からのアクセスと大きくは違いはありません。ですが、Wi-Fiで繋がる場合そのアクセスポイントが“安全である”と確認することは非常に困難です。
例えば、お手元のスマホで確認してみてください。アクセス可能なWi-Fiがあれば、そちらを経由する設定をしている方も多いのではないでしょうか。その方が、通信料金を安く抑えられますからね。
しかし、そのWi-Fiは本当に安全なのでしょうか。
Wi-Fiの安全性
WPA2などの、安全と呼べるレベルの暗号化が為されていれば問題ありません。しかし、多くのWi-FiではWEPといった簡単に破られてしまう暗号化手法が用いられていたり、そもそもID・パスワード不要のものも多数存在します。
最近話題になったものでは「ポケモンGO」の偽Wi-Fiの事例があります。
国内のマクドナルド約2,900店舗が「ジム」と「ポケストップ」に!『Pokémon GO』 & 日本マクドナルド単独ローンチパートナーシップ締結/日本マクドナルド
上記のファーストフードチェーンでは、無料のWi-Fiが提供されており、“ぜひチェーン店を利用し、通信料を気にせずポケモンGOをプレイしてください!”といったキャンペーンを行いました。
一見、店舗とユーザー双方にメリットのある施策に思えますが、これは情報セキュリティの面では非常に危険な問題を孕んでいます。この発表後、ネットでは無料Wi-Fiを悪用し情報を盗み取る手法が大量に出回ったのです。
Wi-Fiを悪用した情報搾取
方法は非常に簡単です。
- チェーン店が設定するWi-Fiアクセスポイント(A)と同名のアクセスポイント(B)を店内に用意する
- アクセスポイント(B)から接続された端末情報を盗む
チェーン店のWi-Fiアクセスポイントは、暗号化無しで接続可能と宣伝している為、偽のアクセスポイントとの見分けがつかず、結果的に危険なWi-Fiを経由し、その過程で端末内の情報が盗まれていくのです。
万が一、従業員がこのアクセスポイントを利用し、ビジネス関連の情報をやり取りしていたらと考えるとぞっとしますね。
規定の前段階としての方針が大切
このように、様々な危険性が考えられるモバイル機器の使用については、“具体的”な方針が必要不可欠です。
- 安全なアクセスを確保する
- 業務以外に使用しない
そして、従業員がなぜモバイル機器を利用するのか、その目的や状況を踏まえた、実用性を損なわない方針であることが望まれます。
テレワークの方針について
テレワークについても、モバイル機器の利用と同様です。
就労形態の多様化から、在宅で業務を行う従業員も増加しています。自宅のネットワークセキュリティを一定レベルに保つことは大前提ですが、家族・同居者とのセキュリティ意識の共有も必須です。
こちらも、在宅勤務の生産性を損なわない方針設定が重要です。
まとめ
それぞれの管理策については、社内と環境が違うのですから、必要な方針や規則も違ってくるはずです。特に近年使用頻度が急激に増加したモバイル機器に関しては意識する必要がありますね。
次回は、情報セキュリティにおいて最重要とも言える“人”の問題「人的資源のセキュリティ」について解説をいたします。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
