多くの企業では、個人の電話で仕事の電話をかける、自宅のノートPCで企業ネットワークに接続するなど、個人所有のデバイスを業務に使用することを認めています。社員は使い慣れたデバイスを使用でき、会社としてはコストを節約できるので、特に小規模企業においてメリットがあります。しかしその一方で、企業にとってのサイバー攻撃のリスクは増えるという難点があります。
当たり前になりつつある個人デバイスの業務使用
「Bring Your Own Device」(BYOD:私物デバイスの持ち込み)を採用する組織の数は、ここ数年で着実に増えています。Oxford Economics for Samsungが昨年行った調査(英語記事)によると、モバイルデバイスは業務プロセスにとって不可欠の要素であると回答した企業は75%に上りました。さらに、会社が従業員全員に業務用携帯電話を支給した方がいいと考える事業主は17%にとどまり、それ以外はある程度まで個人デバイスの業務使用を認めているとの結果でした。
個人デバイスの保護を所有者に任せるべきか
企業のサーバーやワークステーションが全体的に信頼に足る程度まで保護されているのに対し、役員や社員の個人所有物であるノートPCやスマートフォン、タブレットは、必ずしもITセキュリティ部門の責任範囲として扱われるわけではありません。個人デバイスのセキュリティについては、その所有者が責任を負うものと考えられています。
しかしそのようなアプローチでは、サイバー犯罪者にチャンスを与えることになります。個人デバイスが盗難またはハッキングに遭う事例は、常にどこかで発生しています。特に目立った例をいくつか紹介しましょう。
デバイスの窃盗
昨年6月、Michigan Medicineが、社員の私物であるノートPCが盗まれて約870人の患者データが漏洩したおそれがあると発表しました(英語サイト)。ノートPCに保管されていたデータは研究用で、研究プロジェクトによって内容が異なるものの、患者の名前、生年月日、性別、診断、その他治療関連情報が含まれていた可能性がありました。
自宅コンピューターのハッキング
Michigan Medicineの事例では、盗まれたノートPCに入っていたデータが実際に利用されたかどうかは分かっていません。しかし、仮想通貨取引所Bithumbで起きた事例の場合、別の事例で利用されたようです。サイバー犯罪者はBithumb社員の自宅コンピューターに侵入(英語記事)し、Bithumb利用者3万2,000人のウォレットに関する情報を引き出しました。その結果、Bithumbの顧客の口座から数十万ドルを引き出すことに成功したのです。
この取引所は被害を受けた顧客に自社負担で賠償を行うと約束しましたが、それでも顧客は、個人情報の開示とそれに伴う金銭的損失をめぐり同取引所に対して集団訴訟(英語記事)を提起しました。
BYODとセキュリティポリシー
社員に個人デバイスの使用を許可しただけでは、BYODポリシーを導入できたことにはなりません。業務関連情報の保存や使用に個人のスマートフォンやノートPCの利用を許可すれば、必然的に一定のリスクを受け入れることになります。財務上の損害を被ったり、会社の評判に傷がついたりする(あるいはその両方の)可能性を減らすためには、以下の対策を講じることをお勧めします。
- 最新のサイバー脅威に関する、セキュリティ意識向上のためのトレーニングを定期的に開催する。個人デバイスの職場利用や業務利用に伴うリスクを、社員に理解してもらう必要があります。
- 会社のネットワークやデータにアクセスできるデバイスすべてに、セキュリティ製品をインストールする。会社のシステム管理者から管理するのが理想的です。それができない場合は、せめて個人用のセキュリティ製品をインストールするように、社員に促しましょう。保護されていないデバイスに対しては、会社のネットワークやデータへのアクセスを許可しないでください。
- 個人のスマートフォンやタブレット、ノートPC内の機密情報はすべて暗号化した形で保存する。最近のモバイルOSには、スマートフォンやタブレット全体を暗号化する機能があります。信頼性の高いデータ暗号化製品には、カスペルスキー スモール オフィス セキュリティがあります。万一デバイスの紛失または盗難が起きても、部外者が重要なデータにアクセスするのを阻止できます。
カスペルスキー スモール オフィス セキュリティは、特に小規模企業のニーズに応えるように設計されています。管理者に特別なスキルやトレーニングは必要なく、専門家でなくてもWebベースのコントロールパネルで管理できる一方で、コンピューターとモバイルデバイスのいずれについても堅牢な保護を実現します。