企業活動がモバイルによって外部へ広がることで、新たな脅威への備えが必要となってきた。これまでのセキュリティは、インシデントが発生してから対応策を検討するといった“守り”のセキュリティだった。だがモバイルにこの考え方は通用しない。モバイルではインシデントの発生を想定してリスクに備える“攻め”の姿勢が不可欠となる。
今回はモバイル化を推進する企業のセキュリティを解説する。
企業活動がモバイルによって外部に広がる中、企業は想定していなかった新たなセキュリティ上の脅威に備えなければならなくなる。
従来、コンプライアンスのためにポリシーを整備したり、インシデントが発生してから対応策を検討したりといった“守り”のセキュリティが常道だった。だがモバイルの世界にこの考え方は通用しない。ユーザーはいつでもどこでもモバイル機器を利用し、一方で攻撃者は進化を続けるモバイル技術の脆弱性を絶えず探している。完璧な防御を実現することは不可能であることを前提に、モバイルにおいてはインシデントの発生を事前に想定したリスクに備える“攻め”のセキュリティが必要となる。
端末を保護すればいいのか
攻撃者はモバイル機器から何を盗もうとしているのか?答えはシンプルで、企業活動におけるデータそのものである。製品設計情報、顧客情報を転売することで、攻撃者は利益を得る。こうした情報がモバイル機器から漏れると、企業は利益損失や評価の低下といった大きなダメージを受ける可能性がある。
営業部門にモバイル機器を配布し、MDM(Mobile Device Management)製品で端末の利用状況を管理している中堅SEのA氏。大半のユーザーは利用しているが、あるユーザーの利用率が低いことに気付く。当該ユーザーにヒアリングすると、「どうして今さら2世代も前の非力な端末を使わないといけないのか。自分のiPhoneを業務に使う方がよっぽど効率的だ」と答える。想定していなかった回答を受けたA氏は、早速BYOD(Bring Your Own Device)の検討に取り掛かった。
