クラウドPBXや電話システムについてIT・通信のプロが解りやすく解説|voice

ビジネスフォンやクラウドPBXを電話・通信のプロがわかりやすく解説!

\ クラウドPBX資料 /

無料ダウンロード

フリーワード検索

2020.07.04

【BYODのセキュリティ対策】安全にスマホを業務利用するルールを解説|トラムシステム

企業の通信コストの削減と社員の利便性向上が期待できるBYODですが、社員個人の端末を利用することによるセキュリティリスクについては慎重に考えなければいけません。BYODを導入する際に事前に把握しておくべきセキュリティに関して、リスクや対策を詳しく解説します。

サムネイル画像

個人端末を業務で利用する「BYOD」とは

BYOD(Bring Your Own Device)とは、社員が普段使用しているスマートフォン、タブレットなどを業務に利用することです。BYODを導入することで主に以下の2つの効果が期待されます。

BYODのメリット

(1)コスト削減
社員ごとに専用の情報端末を用意する必要がないため、業務専用の端末を会社で用意するコストを削減できます。

そのかわり、個人が毎月支払う通信費の一部を会社が負担するケースもあります。仮に負担した場合でも、業務専用端末の購入費・通信費の負担に比べると、かなりの通信費のコスト削減が期待できるでしょう。

(2)社員の生産性・満足度向上
会社用の情報端末を社員に配布した場合、社員は受領した情報端末の操作方法を覚える必要があります。iOSとAndroid端末のように使用しているOSや端末の種類が異なってくると操作方法が大きく変わるため大きな負担です。

BYODでは普段社員が使用しているプライベート携帯を利用するため、使い慣れた端末でスムーズに業務を遂行できます。

また、会社が情報端末を配布する場合、外出時には携帯電話を常に2台持ち歩かなくてはならず、それぞれの充電やアップデート対応など不満に繋がる可能性があります。BYODによって持ち歩く端末を一台で済ませることで、従業員の満足度の向上も期待できます。

BYODのデメリット

一方、BYODを導入することのデメリットは以下の通りです。

(1)セキュリティリスク
近年、OSやアプリケーションのセキュリティホールを狙った攻撃、ウイルス感染が横行しており、BYODを導入することでこういった脅威にさらされます。

例えば、情報端末がウイルス感染した状態で会社のネットワークに接続すると、会社のネットワーク上で拡散してしまい、顧客情報や財務情報などの重要なデータが漏洩する可能性が出てきます。

(2)情報端末の盗難、紛失
特にノートPCやスマートフォンなどの移動しながら利用する情報端末で注意しなければいけないのが、端末の盗難、紛失です。

例えば、外出先の待ち時間で立ち寄ったカフェで端末を置き忘れてしまう、電車に移動中に鞄から盗難されてしまうなど、第三者と接触する機会が増えるとこのようなリスクが高まります。パスワードの設定が不十分であることで、情報端末の接続先のクラウド上のデータも情報を抜き取られてしまうリスクもあります。

(3)不適切な権限管理によるリスク
社員が会社を辞める際、社内のネットワークへのアクセス権限の削除漏れにより、元社員が会社情報を持ち出すリスクが発生します。直近まで社内で業務を行っていたため、どこにどのような情報が保管されているのかを把握していることから、悪意のある操作により重要な情報へのデータアクセスができてしまう可能性があります。

私用スマホを業務利用する時のセキュリティ対策の重要性

スマートフォンは、パソコンと同じくWebサイトの閲覧やメールの送受信、アプリの利用など様々な用途で利用されますが、同様にウイルスやスパイウェアなどによる感染が懸念されます。

主なセキュリティリスク

スマートフォンは全機種でほぼ同じOSが搭載されていることから、ウイルス作成しやすい状況です。また、同じような環境であることが原因で影響範囲も広くなりがちとなるため、セキュリティ対策が欠かせません。スマートフォンで頻繁に出てくるセキュリティ脅威は以下の通りです。

・マルウェア
マルウェア(Malware)とは、不正かつ有害な動作を行う目的で作成された悪意のあるソフトウェアや悪質なコードのことです。近年はマルウェアの中でもランサムウェアが猛威を奮っています。

ランサムウェアに感染するとファイルが暗号化されて読み取ることができなくなったり、端末にロックがかけられてしまい、起動ができなるなるなどの被害が発生します。

・フィッシング詐欺
フィッシング詐欺とは、よく使うSNSやオンラインバンキングのウェブサイトと見せかけて、そこで入手した情報を盗んで悪事を働くことです。

パッと見ただけでは判断ができないほど巧妙に作成されており、インターネットバンキングの情報を抜き取られたり、クレジットカード情報が抜かれたりして被害が発生しています。

・不正サイト、不正アプリ
不正サイトとは、当選詐欺や入会金詐欺があり、支払いを督促するような動きをさせたり、個人情報を抜き出そうとするサイトです。

例えば、「開催中のキャンペーンに抽選で当選しました。いますぐこちらで賞金の受け取り手続きを進めてください」といった方法で個人情報を抜き取り、詐欺となるWebサイトへ誘導して金銭を要求することがあります。

同様に不正アプリをインストールしてしまうことで、自分の個人情報の流出に加えて、趣味趣向や閲覧しているサイトなどの情報も合わせて流出していまいます。

特にAndroidで多いセキュリティ脅威であり、悪質な広告を表示するアドウェアやネットバンキングを狙った不正アプリなど手口は様々なので注意が必要です。

BYODによる情報漏えいリスク

社員のプライベート携帯を利用するBYODには、大きく3つのリスクにさらされています。

(1)個人情報漏えいリスク
アドレス帳などが流出することで発生する個人情報漏えいリスクは、BYODで想定されるリスクのうち最も多いリスクです。スマートフォンに登録されているメールアドレスなどの顧客の連絡先、住所や追加で登録している情報(例えば、誕生日や趣味趣向、家族構成など)が対象になります。

(2)業務データの漏えいリスク
コンピューターウイルスや不正に情報を取得するアプリなどにより、スマートフォンに保存されているファイルが抜き出されたり、メールが流出してしまうリスクです。iPhoneなどのiOSに比べると、アプリ登録の審査が緩いAndroid端末では不正アプリの開発・提供が頻発しており、誤ってインストールしてしまうことでこのような脅威が発生します。

(3)二段階認証としてスマートフォンを利用している場合の情報漏えいリスク
近年、セキュリティの脅威にさらされていることから、多くのサービスでログインするための二段階認証を利用する機会が増えてきました。会社のメールアドレスをログインIDとして登録し、二段階認証先として自分のスマートフォンを利用してログインしている場合に発生するリスクです。

利用者が携帯端末を紛失してしまうと、悪意のある第三者によってその携帯端末を利用され、メール内容の閲覧や情報取得といったことが発生する可能性があります。

BYOD利用時のセキュリティ対策

BYODには利用者の利便性向上や生産性向上が見込まれる反面、常に情報漏えいリスクがあり、利用時にはしっかりとしたセキュリティ対策が求められます。BYOD利用時に検討したいセキュリティ対策について解説していきます。

モバイル端末管理 (MDM)

MDM(モバイル端末管理)とは、社員が個別に管理している携帯端末を一括で管理することができ、各端末に対してセキュリティ強化をすることができるシステムです。MDMは大きく5つの基本機能に分類されます。

・ユーザの管理機能
組織の階層構造に対応することで、部署や支店などをグループ単位で管理ができます。個人単位だけではなく、グループ管理で機能制限や設定更新を行うことができるため、少ない操作でセキュリティレベルのコントロールが可能です。

・盗難や紛失の対策で効果がある遠隔操作機能
モバイル端末を配布した全端末のコントロールを一括で行うことができるため、盗難や紛失時にリモートアクセスでロックを掛けたり、工場出荷状態へリセットすることでデータの初期化が行なえます。
それ以外にも、一定回数パスワードを間違えた場合に自動でデータを消去したり、仮想デスクトップにデータを保管する機能などがあります。

・セキュリティ対策
MDMではモバイル端末を管理しているため、ソフトウェアのアップデートやファイルの更新などを実施することで全モバイル端末をセキュリティポリシーに沿った状態にすることができます。
データの暗号化機能を活用することで外部からの攻撃による情報漏えいリスクを軽減させたり、緊急パッチのような新たに見つかったセキュリティホールへの対応にも迅速に行なえます。

・アプリの一元管理
利用者が適切にアプリを利用しているかどうかを一元管理することが可能です。例えば、モバイル端末にインストールできるアプリを制限することで、重要な情報の漏えい防止や私的な利用ができないようにすることもできます。

・コンテンツの管理
ファイルの管理、配布を行う機能を活用することで利用者がどのようなファイルや資料を管理しているかを確認することができ、必要なファイルを一括で送信することも可能です。
製品によっては専用ストレージを配布できる機能があったりと、利用者の生産性向上につながるような機能も搭載されています。

クライアント証明書

クライアント証明書とは、個人もしくは企業を認証することで発行される電子証明書のことです。

Webサイトの閲覧やアプリを利用するモバイル端末にクライアント証明書をインストールし、その利用者が正しい利用者であることを認証するために使用します。運転免許証やパスポートをイメージすると理解しやすいでしょう。

クライアント証明書を利用することで、利用者はIDとパスワードを入力する必要がなくなり、IDやパスワードの流出による不正アクセスの防止につながります。利用者のID/パスワード入力が不要になることによる利便性の向上とアクセスコントロールが容易になることに加え、情報漏えいリスクの軽減が実現できます。

クライアント証明書は、担当者ごとにアクセスできるファイル、データを制御することで機密情報などの流出などの漏えいリスクの回避にも有効です。メールの書名にクライアント証明書を利用すれば、メールの受信者は送信元が確認できるようになります。なりすましや改ざんを防止し、フィッシング詐欺などの対策にも利用できます。

リモートアクセス

BYODを業務で利用する際の懸念点として、利用者がモバイル端末を紛失してしまうことによる情報漏えいが考えられます。その対策として使用されるのがリモートアクセスです。

リモートアクセスでは、端末内に一切情報を残さないで離れたサーバ環境に保存されているデータを読み込んで利用します。そのため、万が一モバイル端末を紛失した場合でもセキュリティリスクを減らすことが可能です。

ただし、リモートアクセスは操作性やデータ更新スピードは通信速度に大きく依存するため、通常のモバイル端末の利用に比べると使い勝手が劣ります。どこまでを端末内に保存することを許可するのか、それともすべてリモートアクセスにするのか、慎重に検討していく必要があります。

セキュリティ対策ソフトウェア

iOSはアップル社の厳しい審査を通ったアプリだけがAppStoreで配布されているため、Android端末よりも比較的安全と言えます。一方、Android端末用のアプリは配布元が不明確なアプリも多く、GooglePlay以外のサイトで配布されているアプリでは情報漏えいやウィルス感染のリスクが高まります。

社員には不要なアプリや販売元が不明確なアプリはダウンロードしないよう呼びかけるとともに、万が一の場合に備えてセキュリティ対策ソフトウェアを導入することも方法の1つです。

ESETインターネットセキュリティ、ノートンセキュリティ、マカフィーリブセーフ、ウイルスバスターなど、それぞれ対応できる端末の数や対象とする機能が異なります。自社の運用に対応しているソフトウェアを選定しておくのが安心です。

セキュリティガイドラインを活用する

企業でBYOD活用を進める場合には、一般社団法人日本スマートフォンセキュリティ協会が定めているセキュリティガイドラインを参考にしてみてはいかがでしょうか。

このセキュリティガイドラインは、スマートフォンの利用シーンから企業が事前に考慮しておくべきセキュリティ上の脅威、対策をまとめたものです。

前半はスマートフォンを利用するメリット、仕組み、特性や留意点などを、後半は利用シーンごとの脅威を詳しく解説しています。例えば「位置情報を利用する」といった特定の機能を利用した場合の脅威(誤操作、盗聴、マルウェア)とそのリスク、対策などについてまとめています。

ライフサイクルにおける留意点では、企業でBYODを導入・運用する際の流れに沿って解説されています。このガイドラインを活用して、導入時に注意しておくべきこと、運用時に考慮しておくべきことなどを把握しましょう。

まとめ

BYODは社員携帯を購入する必要もなく、特別なトレーニングが不要など導入するメリットが多い反面、情報漏えいや不正利用、紛失等のリスクが内在します。BYODを実施する前に考えられるリストと対策を整理し、しっかりとセキュリティ対策を実施してから導入に踏み切りましょう。


WRITER

トラムシステム(株)メディア編集担当 鈴木 康人

広告代理店にて、雑誌の編集、広告の営業、TV番組の制作、イベントの企画/運営と多岐に携わり、2017年よりトラムシステムに加わる。現在は、通信/音声は一からとなるが、だからこそ「よくわからない」の気持ちを理解して記事執筆を行う。


UNIVOICEが東京MXの「ええじゃないか」という番組に取り上げられました。

注目記事Recommend Post

  • ビジネスフォンの乗っ取りに要注意丨手口・適切なセキュリティ対策とは

  • Wi-Fiとは|無線LANの代表格を正しく知ろう

    2018.11.29

  • クラウドコールセンターシステム|クラウド化のメリットと3つのポイント