個人情報保護法が全面施行された2005年4月以降,業務で利用しているモバイルPCのセキュリティ対策に取り組む企業が増えているようだ。実際,筆者がかかわる案件でも,今までは社内ネットワークのセキュリティ対策が中心だったが,最近は「モバイルPCのセキュリティ対策を実施したいがどうすればよいか」と相談されるケースが増えている。そこで今回および次回の記事では,モバイルPCのセキュリティについて考えてみたい。今回の記事ではモバイルPCのセキュリティの概要を紹介し,次回の記事で具体的な対策を解説する。
利便性が高まる一方リスクも増大
「携帯できる情報機器を社外に持ち出して,社内のデータなどにアクセスする」ということは,かなり前から行われている。ただし以前から使われているのは専用の端末(例えば,保険会社の外交員が持っている契約用端末)なので,セキュリティを考慮する必要はあまりなかった。
ところが現在では,汎用のモバイルPCを社外で利用することが一般的になっている。モバイルPCには必要なアプリケーションやデータを保存しておけるし,インターネットや社内サーバーへもアクセスできるので,社外においてもオフィスとほぼ同じ環境で仕事をこなせる。
利便性が高まった半面,リスクも増大している。具体的には,「モバイルPCを利用するとき」および「モバイルPCを持ち運ぶとき」の両方でリスクが存在する。
ウイルス感染や盗難の危険性
モバイルPCを利用するときのリスクの一つは,ウイルスや不正アクセスの脅威に直接さらされる可能性があるということ。
企業LANではファイアウオールやIPS(侵入防御システム)などがある程度守ってくれるため,クライアントPCのセキュリティ対策に若干の不備があっても,ウイルスや不正アクセスの危険を回避できるケースが多い。
しかし,同じような感覚で社外からインターネットにアクセスしたり,セキュリティ対策が甘いネットワークに接続したりすると,たちまちウイルスに感染したり,不正アクセスを許したりしてしまう。そのようなモバイルPCを企業LANに接続すると,ウイルスを持ち込んでしまう可能性もある。そうなると,被害はそのモバイルPC一台にとどまらない。2003年8月の「Blaster(MSBlast)」騒動のときのように,LAN全体が麻痺する恐れがある。
また,SSLやIPSecなどを利用していない場合には,通信データを盗聴される危険性もある。公共の場所でモバイルPCを利用している際には,目を離した隙に他人に勝手に使われる可能性もある。
モバイルPCを持ち運ぶときにもリスクが存在する。盗難や紛失である。業務用のモバイルPCには,顧客データなどの重要情報が保存されている場合が多い。そのモバイルPCを盗まれると,業務に影響が出ることはもちろん,信用問題にかかわる。
モバイルPC特有のリスクを洗い出す
以上のように,モバイルPCの利用には,オフィスのPC以上のリスクが存在する。このため,オフィスのPCに施しているセキュリティ対策に加え,モバイルPC特有のリスク(ウイルス感染や盗難による情報漏えいなど)を軽減するための対策を施す必要がある。
セキュリティ対策のガイドラインとしてよく参照される「ISMS認証基準(ver2.0)」でも,その点について言及している。同基準の「詳細管理策」では「9.(8)移動型計算処理及び遠隔作業」として,モバイルPCの管理策を記述している。
具体的には,「移動型計算処理の設備(モバイルPCなど)を用いた作業,特に保護されていない環境における作業のリスクから保護するために,正式な個別方針を持ち,適切な管理策を採用すること」としている。つまり,モバイルPC特有のリスクを洗い出し,そのリスクに応じた対策(管理策)を実施する必要がある。併せて,モバイルPCを利用する社員に対して,リスクや適切な利用方法について教育を実施すべきである。
それでは,モバイルPC特有のリスクを軽減するにはどうすればよいか。次回の記事では,施すべき具体的な対策や,現在使われているセキュリティ技術(製品)などを解説したい。
「IT Pro Security」が提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
