タブレットのセキュリティ対策ポイントはツールとルールのバランス感
2015年度には日本国内の出荷台数が1000万台を突破する、という見込み(※)があるほど普及が進むタブレット端末。個人ユースだけでなく、ビジネスシーンでの利用も増加しており、関連市場が拡大しつつあります。
その一方でタブレットが関係するセキュリティ事件の発生も増えてくることが想定されます。タブレットに関するセキュリティについては以前の記事において、まずは基本的な考え方を抑えるべき、という内容を掲載しました。今回の記事ではその内容を踏まえたうえで、タブレット使用、という状況ではどう考えていくべきか、という点について記事を進めていきます。以前の記事をまだご覧頂いていない方は下記リンクよりご覧ください。
※2014年第4四半期および2014年 国内タブレット端末市場実績値を発表
参考:タブレットのセキュリティを考えるその前に 今こそ学ぶべき情報セキュリティの基本
タブレットにおける情報セキュリティの考え方
先の記事では情報セキュリティの基本的な考えは「リスク」=「情報の重要性」×「脅威の存在」×「脆弱性の有無」というように分解して考えていくことがポイントであることをお伝えしました。同様にタブレットのセキュリティにおいても、リスクを因数分解してみるとわかりやすくなります。
それぞれの状況を定性的な数値に落とし込むのは難しいことかもしれませんが、たとえば「重要な情報が全くない」状態は幾ら脅威が存在しても脆弱性があったとしても、「リスクが全くない」状況です。すなわち「ない金は盗れない」、ということです。また、現実的には考えにくいですが、「脆弱性がない」状況の場合、重要な情報があって、脅威が存在したとしても、「リスクが全くない」と言えます。
要するに先の計算式の中で、どれかの項目が「ゼロ」であればいくら他が危機的な状況であっても「リスクはない」のです。現実的にゼロというのはあり得ないので、各項目を最小化する、ということがセキュリティにおけるリスクヘッジとなります。
ビジネスでタブレットを利用する場合、重要な情報をそのデバイスに入れなければそもそも持ち歩く意味がありません。そのため、ビジネスでの利用においては情報の「重要性」は常に伴うため、この部分を極小化するためには情報の「入れ方」で工夫する必要が出てきます。
たとえばこういうやり方が考えられます。
必要なデータはすべてその都度インターネットにアクセスしてダウンロードし、利用後は各自で必ず削除する、という方法です。ただ、現実的にはタブレットを利用する社員はおそらくこういった方法にフラストレーションを抱え、利用自体を断念して紙の資料で代替するか、悪い場合は そのデータ自体の利用をしない、という事態すら考えられます。セキュリティリスクを低減させんがために、社員の業務へのモチベーションが下がってしまったとしたら、望ましいことではありません。
そのため、現場の状況を踏まえる必要があります。現場でどういった資料が利用され、その利用頻度やシチュエーションを分析したうえで対策を決定する、ということです。 たとえば高級商材の販売店でタブレットを利用する場合、以下のような資料を利用することが想定されます。
- 1)商材に関する説明資料(ドキュメント、説明動画など)
- 2)商材の在庫状況、納期などに関する資料
- 3)顧客に関するデータ(購買履歴、過去接客履歴、趣味・嗜好など)
どれも漏えいした場合の影響は大きいものと想定されますが、なかでも漏えいした場合に信頼失墜しかねない、「顧客に関するデータ」は絶対に漏えいされることは許されません。 そういったデータの取り扱いについては、セキュリティがしっかりとしている自社のサーバに格納したうえで、そのサーバへのアクセスを厳格に管理する、というようなやり方で安全性の確保を目指します。
セキュリティはよく言われるように完全な対策はありませんので、どこまで対策するかは投下できるコストや手間とのバランスとなります。セキュリティ対策をとる情報が漏えいした場合に発生する補償費用やそのあとの売上に対するダメージなどを算出することで、投下するコストについてひとつの目安ができます。
なお、漏えい発生時の補償費用については保険などをうまく利用することで莫大な金額発生に対するリスクを軽減することが可能です。しかし、先述のとおり漏えい発生による信頼失墜はその後の売上に大きな影響を与えかねません。そうした視点からも一定程度の予算や手間をかけた対策は必要、という意見は経営判断としても説得性を有するのではないでしょうか。
タブレットにおける具体的なアクシデント例
タブレットの利用に関連する想定アクシデントを挙げてみます。
| タブレット (物理的) |
利用社員 | 偶発的 | 紛失する、破損する |
| 意図的 | 破壊する、放棄する | ||
| 外部攻撃者 | 意図的 | 盗む | |
| 端末格納の 情報データ |
利用社員 | 偶発的 | 誤操作する、 うっかりミス |
| 意図的 | 持ち出す、 消去する |
||
| 外部攻撃者 | 意図的 | 改ざんする、 盗聴する |
整理をすると、「タブレット自体へのアクシデント」と、「格納している情報へのアクシデント」となります。また、「意図的なもの」と「偶発的なもの」がありますが、さらに分別すると、「社内の(タブレットの)利用者自身」、「社外の(悪意ある)攻撃者」となります。
このように整理をしたうえで個々のアクシデントに対し、予算・コストを踏まえたうえで対応策を考えていきます。
タブレット自体に対するアクシデントへの対処策
まずセキュリティにおける対策全般を通じて言えることですが、アクシデントは発生することを前提に考える必要性があります。アクシデントが発生したときのために何を準備しておくか、ということです。そのうえで、発生しないための予防線として解決策を準備したり、社員への教育や制度導入を通して組織の仕組みとして予防意識を強化する、ということになります。
利用社員が引き起こす偶発的なアクシデントへの対処策
タブレットを利用する社員による、偶発的に発生する「紛失する」アクシデントへの対処策ですが、2つのポイントがあります。ひとつ目は「紛失した事実をいかに早いタイミングで検出するか」、もうひとつは「紛失した端末の利用を制限させるか」です。理想を挙げると、「紛失して(他者の手に渡る前に)端末の情報データへのアクセスを遮断」できれば情報の安全性は確保できます。
もしくは、紛失時に「端末にデータが存在しなければ」情報データを不正利用されることはありません。MDM(モバイルデバイス管理)ツールと呼ばれるソリューションを利用することでこうした問題への解決を図ることが可能です。(MDMとは、モバイル端末を管理するためのソリューションのことを指し、端末自体を管理することによりセキュリティを担保する、という考えのツールです。)
また、「破損する」ことはPCなども含め、よくあるアクシデントです。端末の置かれる状況は「破壊する」と親しいため、次の段落にてまとめて記述していきます。
利用社員が意図的に引き起こすアクシデントへの対処策
次に利用社員による悪意を有した「破壊する、放棄する」といった意図的なアクシデントへの対策ですが、端末を破壊されたとき、破損してしまったときに端末の状態は個々のケースで異なります。しかし、多くの場合データをその端末から取り出すことは難しい、という観点で考える必要があります。すなわち、壊れることを見越して、常に端末以外のどこかにバックアップをとっておくことがこうしたアクシデントへの最良の対処と言えます。
外部からの意図的な盗難などのアクシデントへの対処策
「盗難」というアクシデントも先の利用社員による「破壊、放棄」などのアクシデント同様、予見不可能で不可避なアクシデントです。そのため、盗まれたときを見越して考える必要があります。
先のふたつと異なることとして、「盗まれる」場合、その端末は外部攻撃者の手元にある、ということです。すなわち、その端末のログインを突破すれば端末に保存されているデータに自由にアクセスすることができる、ということです。
このアクシデントに対する対策は3点考えられます。
- 1)ログイン自体をさせない
- 2)ログインできてもデータい状態にする
- 3)2と3の両方を可能にする対策
)の選択肢はそもそもログインすること自体が難しく、仮にログインできてもデータがない、ということで二重に対策するということです。その分、リスク対策として安全性は高まりますが、手間も費用もかかることになります。なお、1)を実現するツールは先ほど挙げたMDMツール、2)はMCM(モバイルコンテンツ管理)ツールと呼ばれるソリューションです。本サイトを運営するインフォテリア株式会社でも「Handbook」というMCMツールを提供していますが、ツールのコンセプトにより対策できることはそれぞれ異なります。「Handbook」の詳細については以下リンクからご覧ください。
情報データに対するリスクへの対処策
先の端末自体へのリスクの部分でも述べたとおり、情報データに関しても100%安全と言うのは決してありえません。そのため、アクシデントが発生した際のことをまず考える必要があります。しかし一方で、情報データについてはツールなどを利用することでかなりのリスクを軽減することも事実です。以下、それぞれを見ていきます。利用社員による偶発的なアクシデントへの対処策
いわゆるヒューマンエラーへの対処策であり、これはタブレット、PCといった端末の種類や社外/社内の場所を問わず発生するものです。取り扱うデータによって対処策は異なってきますが、一般的には「うっかり」後にその前の時点まで戻す、であったり「うっかり」の発生する前に確認をおこなう、といったツールを導入することです。ヒューマンエラーの場合は環境的なものが原因のケースも少なくありません。重要な情報を扱う場合はその該当社員の健康状態などにも気を使って未然に予防する、といった対策も必要になってくるでしょう。
また、後述しますが、端末内のウェブブラウザなどで外部サイトにアクセスした際やメール添付のファイルなどによる悪意あるプログラムを端末に埋め込まれることも考えられます。もはや基本とも言えますが、ウィルス予防などのセキュリティ対策ツールを導入することはマストでしょう。
利用社員による意図的、悪意的なアクシデントへの対処策
2014年7月に発生した教育系サービスの企業における情報漏えい事件は大きな話題になりましたが、内部社員による意図的な情報漏えいはこれまでにも数多く発生してきており、ツールなどによる対策でも万全なる予防は難しい、というのが実情です。タブレットの場合はましてや社外に持ち出すことが前提の端末となるため、どうしても会社の管理下以外での利用が多くなります。そのため、顧客情報などの重要情報を取り扱う端末の場合は万一のことには十分に配慮する必要があります。
先に挙げたMCMツールなどでコンテンツごとにセキュリティレベルを設定する、といったやり方のほか、情報のローカルへの保存を禁止し、端末にデータを残さない、といった方法などが考えられます。
外部からの意図的なアクシデントへの対処策
悪意ある者による「改ざん、盗聴」は年々増加傾向にあり、それはタブレットのようなモバイル端末でも同様です。タブレットの普及が進むにつれ、タブレット向けOSに対するウイルスは増加の一途を辿っています。
また、公衆無線LAN利用で通信内容を傍受されてしまうような手口も年々高度化しています。かつては高いセキュリティレベルを誇った暗号方式WPAも、時間の経過とともに解読方法が高度化し、多くの時間をかけることもなく破ることのできる方法が発見されています。
参考:公衆無線LANで安全にタブレットを使うために気をつけたい2つのポイント
この流れは加速することはあれど、収まることはもはやないだろうと考えたほうがよさそうです。実際、年々攻撃者のレベルは上がっていくばかりです。そうした時代背景を前提に、利用者としては常に最新の技術動向をキャッチアップし、状況に合わせたセキュリティ対策を実施していくことが必要ではないでしょうか。
ルールとツールを組み合わせ、運用でブラッシュアップをする
タブレットに関するセキュリティはタブレット自体、そして格納されている情報、それを扱う社員、どこかに注力して実施ということではうまくいくことは難しいと思われます。また、ルール、ツールどちらを導入する、ということでもうまくいかないでしょう。
自社のビジネスを分析し、タブレット利用におけるどういったリスクがあるのかを洗い出し、そのリスクに対してどれくらいの手間、コストをかけることができるのかをしっかりと検討したうえで実行に移すことがまず第一歩です。
セキュリティ対策は底なし沼的に費用をかけることも可能ですが、費用をかけるより、社員の教育や社内制度の変更などでカバーできる部分も少なくありません。実施する対策を見定めたうえで実際に運用しながら改善を図り、改善を重ねることが安全性の確保につながります。また、改善を重ねることで社内での意識向上も期待できることでしょう。
まとめ
まず、前提としておかねばならないのが、セキュリティに絶対はない、ということです。
これはタブレットのセキュリティについても同様です。だからと言って対策をとらない場合、そのツケは実際にアクシデントが起こった際に確実に回ってくることでしょう。
そうした事態を防ぐためにも、まずは自社に起こる可能性があるアクシデントが何か、というような分析からはじめてはいかがでしょうか。
おすすめ資料
スマホ・タブレットのセキュリティリスクとその対策
- 導入担当者は必見! 厳重な対策を実現する方法
企業での普及が広まるスマートフォン・タブレット。導入にあたって考慮すべきセキュリティ上の課題をリスクの種別、OSの種別の観点から解説し、対策やセキュリティ向上のステップをご紹介します。
