情報漏えいを防ぐ三つの対策
ではこうしたリスクに対して,企業はどうすればいいのだろうか。もちろん,社員が携帯電話を紛失しないようにするのが一番だが,「うっかりミス」を防ぐのは実際には不可能だ。そこで,携帯電話を落としても,情報が漏れない仕組みを用意しておくことが必要になる。
情報漏えいに備えるための対策は大きく三つある(図1)。(1)第3者にデータをアクセスさせない(アクセス禁止),(2)そもそも端末にデータを残さない(データの消去・非保持),(3)アプリケーションやユーザーに不要な操作をさせない(不正利用防止)──というものだ。
 |
| 図1●携帯電話の情報が漏れる経路と情報漏えい対策 [画像のクリックで拡大表示] |
(1)のアクセス禁止を施せば,たとえ携帯電話が悪意ある者の手にわたっても,データの閲覧を防げるために情報は漏えいしない。基本的な手段は,携帯電話が備えるパスワード・ロック機能を使うこと。多くの端末が携帯電話を折りたたんだり,一定時間が経過するとロックがかかる機能を備えている。ただし,使えるパスワードは4ケタの数字の場合が多い。1万通りしかないため,本気で破ろうと思えば,短時間でロックを解除できてしまう。
そこで考えられるのが,無くしたと気付いた時点で端末にロックをかける方法。携帯電話のネットワークを通して信号を送りロックする。電波が届かない場所で,ロックがかからないケースを想定して,パスワードを3回間違えればロックしてしまうというローカル・ロック機構の採用も考えられる。
プロの犯罪者なら携帯電話自体にロックがかかっていても,内部のフラッシュ・メモリーを取り出して直接読み出してしまう。万全を期するには,データの暗号化が必要となる。
(2)のデータ消去・非保持対策を施せば,携帯電話に情報が残らないので,情報を盗もうにも盗めない。
具体的には,データをサーバーに置いてWebブラウザで情報にアクセスする方法や,紛失に気付いた時点で携帯電話に命令を送り,端末内のデータを消去する方法(リモート消去)がある。前述のローカル・ロック機構を発展させ,3回パスワードを間違えたらデータを消去するといった機能を備える製品もある。
(3)の不正利用防止対策は,利用者の誤操作やルーズな利用による情報漏えいを防ぐのに役立つ。アクセス禁止のように携帯電話にパスワードを設定したり,データ消去・非保持のようにWebブラウザで情報を見るように決めていたとしても,ユーザーが自分でパスワードの利用を無効にしたり,電話帳やメール機能を使ってしまう可能性がある。また,利用者が誤ってウイルスをインストールしてしまい,ローカルにあるデータが盗まれてしまうかもしれない。
キャリア型,統合型,Web型がある
(1)~(3)で紹介した対策を実現するサービスと製品は,携帯電話事業者やASP,ソフトウエア・ベンダーなどが提供している。企業ユーザーはこれらを導入することで,携帯電話の情報漏えい対策を進められる。
これらの製品/サービスは,主に提供形態からキャリア型,統合型,Web型に分類できる(図2)。
 |
| 図2●携帯電話のセキュリティを強化する製品/サービス キャリア型は利用料金が安く,統合型は機能が豊富,Web型は端末を選ばないという特徴がある。 [画像のクリックで拡大表示] |
キャリア型は,携帯電話事業者のネットワークを通して携帯電話のロックやデータ消去を実行するサービスである。先の(1)アクセス禁止や(2)データの消去・非保持に該当する機能を提供する。契約している通信事業者に申し込めば使えるので手軽に導入できるうえ,低料金だ。
統合型は(1)(2)に加え,(3)不正利用防止という三つの対策を網羅的に持つ製品やサービスである。ほとんどの場合,Windows MobileやSymbian OSが動作するスマートフォン向けに提供される。機能が豊富な半面,設定や操作が複雑で,一般に導入費用や月額料金が高い。
Web型はWebブラウザ経由で電話帳を提供する製品やサービスである。データはすべてWebサーバー上に置かれ,端末にデータが残らない。(2)に該当するサービスである。Webブラウザを搭載した携帯電話であれば利用可能である。
以下では,この分類に従って,各製品/サービスの特徴や使い方を見ていく。
