最近スマートフォンのセキュリティについての特集を担当し、その中で「スマートフォンには、どのようなリスクが存在するか?」という点を考察した。ニュースなどでスマートフォンを狙うウイルスの話題をよく見かけるが、最大のリスクは紛失・盗難だといえる。ウイルスは、少なくとも今のところはAndroid端末に特有のリスクと言えるが、紛失・盗難は端末の搭載OSを問わず起こり得るためだ。

 発生率も高い。JNSA(日本ネットワークセキュリティ協会)の調査報告書「2011年 情報セキュリティインシデントに関する調査報告書~発生確率編~」によると、スマートフォンを含む携帯電話の紛失・盗難の年間発生確率は2.6%だという。社員100人の企業で、年間2人くらいが紛失・盗難に遭う計算だ。

 スマートフォンの紛失・盗難への対策として、離れた場所からネットワーク越しに紛失端末に命令を送って端末をロック状態にするリモートロックと、同様に端末内のデータを消去するリモートワイプがよく知られている。企業ユーザーであれば、スマートフォンを管理するMDM(Mobile Device Management)と呼ばれる管理ツールで実行できる。個人でも、iOS端末ならOSに標準搭載されているし、Android端末もセキュリティソフトを導入すれば実行可能だ。

「対策ツールがある」だけではダメ

 では紛失・盗難に対しては、リモートロックやリモートワイプを実施できるツールを用意して、使えるように設定しておくとよい――かというと、恐らくそれでは不十分。スマホ向けセキュリティソフトのメーカーやインテグレーターに話を聞くと、「紛失したときのスキームが重要」「ルールがないとアクションをとれない」「問題は紛失時の連絡手段だ」といった意見が出てきた。リモートワイプくらいは、用意しておいて当然の施策。問題は、それらをいかに実行に移すかを決めておくことというわけだ。

 例えば「誰がリモートワイプの実行権を持つのか」だけ考えても、情報システム部門やアウトソース先のサービス事業者などいろいろある。紛失してからワイプできる人を探し回るのも、無条件でリモートワイプを実施できてしまうのも問題である。ここをきちんと決めておかないと、対策にならないといえる。また紛失・盗難にあったときにすべき作業はリモートワイプだけではないはずで、そこも整理しておくべきだろう。紛失・盗難がリスクであるのは、情報流出・情報漏洩につながる恐れがあるからだ。洗い出した作業は、情報流出・情報漏洩をできる限り低く抑えられる順番で実行したほうがよい。