【必須】スマホのセキュリティ対策9つ!必要性とリスクを解説|トラムシステム
企業が保有する従業員や顧客の個人情報、売上などの機密情報を守るためには、スマホの業務利用(BYOD)時のセキュリティ対策が欠かせません。しかし、怪しいソフトを開いたことがある、いらないアプリを削除せずそのままにしているなど、多くの社員がセキュリティリスクに気づいていないのが現状です。
本記事ではスマホのセキュリティ対策の必要性や行うべき9つの対策について解説します。
目次
スマホのセキュリティ対策の必要性とは
スマホは従来の携帯電話にはなかった利便性をもたらす反面、新たなセキュリティリスクを生みだす原因にもなっています。スマホのセキュリティ対策が必要な理由について解説します。
スマートフォン=持ち運べるパソコン
常時インターネットと接続されているスマートフォンは、いわば持ち運べるパソコンです。インターネット上の動画やWebサイトを閲覧できるだけでなく、他人が配布したアプリがインストールできるなど、サイバー攻撃の対象となるリスクが高まっています。
個人情報・重要データの宝庫
手軽に大容量のデータを持ち運べるようになったため、個人情報や重要データをスマホに保存している方も少なくありません。業務利用している端末には顧客情報や取引内容も含まれていることが多々あり、外部に流出した際は大きな問題となります。
対スマホウイルスの増加
スマホが普及して年月が経ち、対スマホウィルスも年々増加傾向にあります。サイバー攻撃を行う側は日々新たな攻撃手段やウィルスを開発しているため、セキュリティ対策も年々強化していかなければなりません。
スマホの主なセキュリティリスク
スマホに関連するセキュリティリスクは多岐にわたり、手口の巧妙化や被害額の増加が起こっています。どのようなリスクがあるかを把握し、万が一の時も対応できるように備えましょう。
不正サイト・不正アプリ
「キャンペーンの抽選に当選したので商品を受け取って欲しい」などの口実でWebサイトやアプリへと誘導し、ウィルス感染・個人情報抜き取りを行う手口です。
アプリをインストールすることは特に危険な行為となっており、個人情報や閲覧履歴だけでなく、端末に保存された業務データにも危険が及びます。業務外での利用が多い場合は注意が必要です。
特にAndroidで多く発生しており、アドウェア(執拗に商品広告を表示するよう勝手にOSを書き換えるソフトウェア)感染や抜き取った個人情報を利用したネットバンキングの乗っ取りなどの被害が報告されています。
マルウェア
誤作動やエラーを誘発するソフトウェアをマルウェアと呼びます。セキュリティ対策が十分ではない業務用スマホの場合、Webサイトのリンクやメール経由でのマルウェア感染、その状態で社内ネットワークに接続することで発生する感染拡大が脅威です。
近年はマルウェアの中でもランサムウェアが猛威を振るっています。一度感染するとファイル読み取りや端末の起動が妨害され、解除する見返りに金銭を要求する悪質なソフトウェアです。
フィッシング詐欺
メールを送信してSNSやネットバンキングの偽サイトへと誘導し、個人情報を入力させる手口です。偽サイトは一見見分けがつないほど巧妙に作られており、クレジットカード番号やパスワードが流出してしまう被害が発生しています。
同じパスワードを複数のWebサイトで利用している場合、フィッシング詐欺で流出したパスワードから多くの情報が抜き取られる事態も。特にスマホを業務利用している場合は、社内システムのパスワードも露見する恐れがあります。
端末の紛失・盗難
スマホは小型で持ち運びが容易ですがその分端末の紛失や盗難が発生しやすく、紛失率はパソコンの2倍というデータも存在します。
特に業務用端末を紛失した場合は、業務データの不正アクセス・外部流出が発生しかねません。日本国内では紛失したスマホの約8割が戻ってくると言われていますが、紛失によって他の従業員や顧客に迷惑をかかることは避けられないでしょう。
全ユーザー必須のセキュリティ対策9つ
スマホを業務利用する場合、全ユーザーで必ず実行すべき対策は9つ存在します。実行が簡単なものから1つずつ実施していきましょう。
OSは常に最新バージョンにする
ソフトウェアの欠陥を修正するOSアップデートを実施することで、ウィルスに対する脆弱性を克服できます。最新バージョンの公開後すぐさまアップデートするように設定し、ウィルス感染のリスクを低減しましょう。
ただしアップデートが新たな不具合や誤作動を誘発する場合もあるので、その場合は修正パッチのインストールを必ず行ってください。
パスワードは定期的に更新
スマホのパスワードを定期的に更新すれば、悪意のある第三者のハッキングを防ぎやすくなります。端末そのものを紛失・盗難されたケースも想定し、社内システム1つ1つに固有のパスワードを設定すればより安全です。
公衆WiFiは使わない
公衆Wifiはパスワード認証やセキュリティ対策が不足しているケースが多く、業務利用には適しません。中には個人情報を抜き取るための偽Wifiも存在しているため、初めて見るWifiへのアクセスは極力避けましょう。Wifiへの自動接続機能をオフにし、業務用のWifiやVPNを利用してください。
最新のブラウザを使う
OSだけでなくGoogle ChromeやSafariをはじめとするWebブラウザも最新バージョンに更新する必要があります。個人情報となるブラウザ閲覧履歴のリセットも定期的に行い、侵入された際のリスクを減らしましょう。
画面はロックする
紛失したスマホを簡単に閲覧されないよう、画面ロック機能は必ずオンにしましょう。パスワードを入力しない限りトップ画面にアクセスできなくする機能で、内部の個人情報を保護するのに有効です。誕生日といった単純なパスワードは特定されやすいため、業務用の場合は複雑なパスワードを設定しましょう。
二段階認証を利用する
アクセス権限取得やログインの際、IDやパスワード以外の条件を設定するのが二段階認証です。近年は多くのWebサイトやSNSで採用されています。
【二段階認証の例】
・秘密の質問やセキュリティコードを利用した知識認証
・ICカードによる所有物認証
・指紋や顔認証による生体認証
二段回認証システムの採用により、IDとパスワードが流出しても乗っ取りや侵入を防ぐことが可能です。
端末検索機能をオンにしておく
端末検索機能は、スマホの紛失や盗難が起こった際に欠かせない機能です。スマホの位置情報を検索できるだけでなく、遠隔でスマホ操作やデータ削除も行えます。画面ロック機能と組み合わせれば、不正なアクセスや操作を長時間防ぐことが可能です。
アプリは公式ストアから
スマホアプリはさまざまなサイトからインストールできますが、非公式サイトからの入手は控えましょう。厳密な検査が行われておらず、アプリ内にウィルスが潜んでいる可能性があるからです。
ただし公式サイトで配信されているアプリの中には、違法にならない範囲ではあるもののユーザーのデータ収集を目的とするものも存在します。アプリが内部情報のアクセス権限を求めてきた場合は注意が必要です。
怪しいメール・不要なURLは開かない
フィッシング詐欺やマルウェア感染の多くは、送信されてきたメールやURLを不用意にクリックすることで発生します。楽天やAmazonといった有名サイトからのメールを装っていることもあり、事前情報なしでの防止は困難です。
スマホを業務利用する社員に怪しいメールやURLを開かないよう指導を徹底し、新たな手口が発見されたときはすぐさま全社員に共有しましょう。
iPhoneならセキュリティソフトはいらない?
多種多様な機種が登場しているスマホの中でも、iPhoneは比較的セキュリティリスクが低いとされています。iPhone用のアプリの販売・配布は必ず公式サイトを通すよう規定されているからです。また、開発コードやシステムの内容が公開されていないため、脆弱性が発覚しにくい点も理由の1つです。
ただし内部情報が公開されないこともあり、公式のアンチウィルスソフトは開発されていません。水際でウィルスの侵入を阻止するセキュリティソフトを他社が開発するに留まっています。
いずれにせよiPhoneも完全にウィルスやマルウェアを阻止できるわけではありません。積極的にセキュリティソフトを導入し、安全性を高めていきましょう。
まとめ
スマホのセキュリティ対策の必要性は年々高まっており、リモートワークやBYODの実施時には必須といえます。新しい働き方やツールを導入するだけでなく、セキュリティ対策も万全とし、もしもの場合のリスクを減らしておきましょう。本記事の内容をもとに、まずは9つのセキュリティ対策の実行を目指してください。
WRITER
トラムシステム(株)メディア編集担当 鈴木康人
広告代理店にて、雑誌の編集、広告の営業、TV番組の制作、イベントの企画/運営と多岐に携わり、2017年よりトラムシステムに加わる。現在は、通信/音声は一からとなるが、だからこそ「よくわからない」の気持ちを理解して記事執筆を行う。
UNIVOICEが東京MXの「ええじゃないか」という番組に取り上げられました。
