第3回　モバイル活用の意外な「リスク」モバイル・セキュリティを確保せよ

モバイル活用の落とし穴

「たとえ電車の中や喫茶店であろうと、端末を開けばそこが自分のデスクになる」――これがモバイル・コンピューティングの最大の利点と言える。外出先で自社システムにアクセスしてメールを読む、顧客情報を取り出す、在庫を確認して商品を確保するなど、とりわけ営業スタッフや渉外担当者にとって、こうしたモバイル・コンピューティング環境は利便性を飛躍的に向上させるものとして活用されている。実際に、インターネット利用の浸透や通信環境の整備化が進むにつれて、企業のモバイル活用の需要も急速に拡大しており、モバイルを導入することによって仕事のスタイルそのものが変化するという見方もいよいよ現実味を帯びてきた。

しかし、企業の情報をどこにいても活用できるということは、情報漏洩の危険性が高まるということでもある。例えば、端末の操作中に貴重な情報を第三者にのぞき見される、モバイル端末の紛失・盗難によって端末内のデータを盗まれる、場合によっては、不法に社内ネットワークにアクセスされて、企業内情報のすべてを盗まれるといった危険性も出てくる。そのため、モバイル端末を携帯する際には、常に取り扱いに注意し、1人1人が慎重に管理する体制が求められるのだ。

もちろん、モバイル利用の危険性への対策としてさまざまなセキュリティ技術も開発され、その利用も進みつつある。例えばICカードや指紋、声紋などによる個人認証、端末内データや通信データの暗号化といった仕組みなどがそうだ。だが、これらの技術の利用には複雑な手順を踏む必要があることが多く、使い勝手が悪くなりがちだ。モバイル利用の効果という点から見ると、これは大きなデメリットと言えるだろう。さらに問題なのは、こうしたセキュリティ技術を使ったとしても、100％安全ではないということだ。確かに安全性を高めることはできるが、それで万全だとは言えないのだ。

メリット／デメリットを数値で示す

それでは、安全性の高い効率的なモバイルの活用法をどのように確立していったらよいのだろうか。

まず、自社のビジネスを推進するにあたっては、モバイルの利用が本当に必要になるのかどうかを明確にし、それがもたらす効果を情報漏洩などのリスクを含めたデメリットとともにしっかりと分析し、数値化することが必要だ。イメージや言葉ではなく、具体的な数値で表すことがポイントになる。

モバイルの活用によって、すでに大きな効果を上げている企業も少なくないが、当然ながらモバイルにはさまざまな利用法があり、それぞれの企業によって利用環境も異なってくる。そのため、自社のどの業務分野にどのように適用すればより大きな効果を期待できるのかを検討する必要がある。例えば、営業支援に利用する場合、売上効率はどの程度改善するのか、モバイルを利用することによって営業業務の進め方がどのように変化し、どのような効果を見込めるのか、といったことをすべて具体的に数値化してみるのだ。

逆に、モバイルを利用することでどのようなリスクが生じ、どのような対策が必要となり、それに要するコストや手間がどの程度になるのかを分析することも重要だ。それらの数値を比較して、必要と判断したうえで導入を決定することが望ましい。他社が成功しているからという期待のみで安易にモバイル利用を始めると、あとで大きな障害を招きかねないからだ。

モバイルの利用を検討するにあたっては、モバイルを1つのシステムとして考えることが大切だ。例えば、システムを導入する場合には、まずその費用対効果を算定し、運用コストやリスクもきちんと数値化するのが普通であり、リスク回避のためにさまざまな対策を講じるはずである。モバイルを活用する際にもそうした視点で検討を進める必要があるだろう。

被害を最小限にとどめる「運用ルール」

モバイルの活用が決定したら、具体的にモバイルを運用するためのルールを策定する。活用の効果を最大化し、考えられるリスクを最小化するために、どのような運用ルールが必要となるのかを現実に即して決定していく。その際には、策定したルールをきちんと文書化しておく必要がある。また、あいまいなルールのまま運用することも危険である。モバイル端末を誰に「貸与」するのか、彼らがやるべきこと、やってはいけないことは何か、どのような手順で利用するのか、といったことまで文書化して規定しておこう。また、教育研修を実施するなど、運用ルールを徹底させるための制度を確立しておくことも重要だ。さらに、運用ルールがきちんと遵守されているかどうかを定期的に監査する体制も必要になる。

例えば、モバイルを利用する資格を設定し、研修などを実施してその資格を得た社員にのみ利用を許可するというのも、運用ルールを徹底させる方法の1つであろう。企業の中には、営業部門に所属する全員にモバイル端末を「配付」して、実際に運用しながらルールを習得させているところもあるが、これはセキュリティ面においてあまりにも無謀な行為だと言わざるを得ない。モバイル利用の危険性を考えると、一定の教育研修は不可欠であり、端末と情報をきちんと管理できる適性を持った社員を選別して、その利用を許可するのが望ましい。必要によっては、誓約書を取っておくくらいの認識を持つべきだろう。

これとは別に、「貸与」するモバイル端末の機能を絞るという方法もある。例えば、商品情報へのアクセスやメールのやり取りだけに機能限定した端末を利用したり、誰がどの端末を利用しても同じように動作するよう設定して、勝手な機能追加や設定変更できないようにしたりする。

アクセス権限を利用者ごとに設定するのも有効だ。情報の機密性のレベルに応じて、あるいは利用者の適性やレベルに合わせてアクセスできる情報を制限する。

このような制限を加えることにより、万一端末が盗難にあって不正なアクセスが発生した場合でも、その被害を最小限にとどめることができるのだ。

全体的な対策が不可欠

企業でのモバイル利用が本格化する中、モバイル・コンピューティングに関しては、技術的あるいはシステム的な視点からの議論は盛んに行われており、安全で快適なモバイル利用のための新しい技術も続々登場している。セキュリティ技術も日進月歩の状況だ。しかし一方で、モバイル活用はビジネスの手段の1つであり、ビジネス的な費用対効果の視点からも検討されなければならない。また、どんなに優れたセキュリティ技術も、それを利用する人にセキュリティの意識がなければ有効に活用することは望めない。モバイル利用には上述したように、システム系・情報系部門の社員のみならず、非システム系・非情報系部門の社員を含めたトータルな対策が欠かせないのである。

機密文書の取り扱いについての厳格な規定を定めている企業であっても、モバイル端末の取り扱いについて同様の規定を定めているところはまだ少ない。企業情報ネットワークに自在にアクセスできるモバイル端末を社外で使用するのは、機密文書を社外に持ち出すことよりも危険性が圧倒的に高いのにもかかわらずだ。モバイル・セキュリティについての認識は全社的に浸透させるべきであろう。

企業のモバイル利用は、ビジネスのスタイルを大きく変化させる可能性がある。今後、企業のITセキュリティを語るときには、モバイルの安全性確保が大きな部分を占めることになるかもしれない。システム系と人間系の両面を考慮して適切な運用ルールを確立し、それを適用していくにはCIOのリーダーシップが不可欠となる。