2009年はスマートフォンセキュリティ元年!
~ソフトバンクモバイルに聞く
ビジネスの舞台で普及が進むスマートフォン、
そのセキュリティと内部統制
ソフトバンクモバイルに聞く、スマートフォンの最新動向
近年市場では、iPhone 3Gを代表とする、各種OSやさまざまなアプリケーションなどを搭載した高機能携帯電話=スマートフォンが好調です。これら高性能機種の登場により、企業によるスマートフォンの導入、ビジネスにおける活用がよりいっそう進むものと思われます。そこで今回は、ソフトバンクモバイル株式会社 法人事業推進本部の國枝良氏をゲストにお招きし、お話をうかがいながら、スマートフォンとそのセキュリティについて解説します。
【ソフトバンクモバイルとスマートフォン】
ソフトバンクモバイルは、その前身であるボーダフォン時代を含めると、かなり早くからスマートフォンを取り扱い、数多くの機種を出してきた歴史があり、持てるノウハウも豊富です。その先駆者としての強みを生かし、今日も時代に合ったスマートフォンを提供し続けています。
さて近年のスマートフォンは、iPhone 3GやWindows Mobile対応機種など、搭載するOSや機能が増えています。「特にWindows Mobile対応機種は、お客様の要望に応えるかたちで操作性の向上や本体の小型化、軽量化が進み、用途に応じて多彩な機種がラインナップされるようになりました(國枝氏)」。
そんな中、iPhone 3Gの登場をきっかけに、法人での利用もマーケットが急速に拡大しています。2006年ごろまでは、法人のニーズは主として通話を中心とした携帯電話としての基本的な性能にありました。しかしその後、スマートフォンの機能や性能が向上した結果、2008年には、スマートフォンは「PCの一種」と認識されるようにもなりました。
一時期はスマートフォンが「PCと置き換えられる存在」という極端なとらえ方をされたこともありましたが、今では「PCとスマートフォンは相互補完する関係」という、適切な認識が普及しています。
「スマートフォンの法人利用のニーズは、大まかに以下の3つに区分できます。(國枝氏)。
1:『Eメール、スケジューラー、アドレス帳、電子認証システムとの連携』
2:『受発注システム、在庫管理、SFA/CRMシステムとの連携』
3:『eラーニング、出退勤、経費精算、電子決済との連携』
現状よく見られる導入事例では、CRMにおける活用が多くなっているようです。例えば、商店街加盟店で発行する独自のポイント提供や、ガソリンスタンドの顧客管理などにスマートフォンが活躍しているケースが挙げられます。
また、ここにきてスマートフォンの法人利用が進んでいるのは、昨今の企業の内部統制強化、コンプライアンス遵守の流れから、「あらゆる情報を保持し、あらゆる機能が利用可能なPCの持ち出しは敷居が高くなってしまったが、スマートフォンであれば、使用できる機能を限定し、新たな社内規則を適用することで持ち出しやすい」という理由があるため、とも考えられます。「ですから、法人向けスマートフォンの導入にあたっては、特に「操作性」と「内部統制」の面が重視されます。この「操作性」は、操作が容易であるという特長とあわせて、PCによるセキュリティ対策との統合管理が可能という意味も含まれています(國枝氏)」。
今後は、既存のPDA端末と置き換わるかたちで導入が進み、最終的には社内の固定電話すべてがモバイルに置き換わるのではないかという見方もあります。
このように法人市場での導入が進むスマートフォンですが、スマートフォンの黎明期であった2005年ごろは、内部統制やセキュリティの側面はあまり問題にされていませんでした。しかし今日では、大規模企業だけでなく、中堅・中小規模の企業においても、スマートフォンのビジネス利用に際しては、導入時の経営判断の時点で、確実にセキュリティへの対策状況が検討事項に挙げられます。
では、スマートフォンの機動性とセキュリティの強化を両立させるためには、何に注意すべきなのでしょう。
ビジネスにおけるスマートフォン利用のリスクと解決策
先に示したように、法人でのスマートフォンの導入の際に考慮すべきポイントとしては、セキュリティと内部統制が第一に挙げられます。
まずセキュリティの面では、インターネットに接続する以上、PCと同様の脅威にさらされる可能性があることを考えなくてはなりません。具体的には、不正プログラム、不正侵入、DoS攻撃などです。現在、PCを攻撃対象とする不正プログラムの主な目的は、PC内部に保存されたデータの入手、すなわち情報漏えいにあります。不正プログラムが効率的な攻撃を行うため、より普及していてユーザの多いOSやアプリケーションを対象に選ぶことは、容易に想像できます。つまりこのままスマートフォンが急速に普及していけば、「このような攻撃のターゲットにされてしまう可能性があると考えた方がいいでしょう(國枝氏)」。
もし前述の不正プログラムの脅威が、スマートフォンでも現実化するようなことがあったら? スマートフォンの法人利用においては、端末に顧客情報など重要なデータが保存されることも少なくありません。このような端末が不正プログラムに感染すれば、深刻な情報漏えいを招くおそれがあります。
スマートフォンも、PCと同様のセキュリティ対策、特に「情報漏えい」に着目した対策が必要なのです。
次に内部統制の面です。ここでは、まず管理上の問題があります。スマートフォンを導入したのはいいが、どのように使っているか把握できていない企業が多く、所有者さえ特定できないというケースも散見されます。「これは、スマートフォンが新しいツールであるための問題ともいえます。従来、PCはIT部門が、携帯電話は総務部門が管理しているケースが一般的でしたが、その中間の存在であるスマートフォンをどの部署が管理するのか、あやふやになってしまっているとためといえるでしょう(國枝氏)」。
また、社員がスマートフォンを持って外出する場合、ノートPCよりもコンパクトで手軽であり、緊急時の連絡など場所を選ばず使えることから、喫茶店や居酒屋などで取り出すケースも多くなります。これが紛失・盗難につながり、結果的に情報漏えいへつながってしまう可能性を高めているといえるでしょう。
高い利便性の裏にあるこのようなリスクの存在を考えれば、スマートフォンにおける内部統制への対応は急務といえます。
以上のことから、特に法人でのスマートフォン利用に求められる要件としては、以下の点が挙げられます。
・ 一括管理
・ 認証および暗号化
・ 遠隔消去
・ グループポリシーの策定、適用
「PCとスマートフォンは相互に補完する関係にあるため、セキュリティ対策+内部統制対応も、PCと連携できるものがいいですね。その点で、PCで実績のあるトレンドマイクロのスマートフォン向けセキュリティソリューションは、非常に現実的であると考えています(國枝氏)」。
スマートフォン向けの有効なセキュリティ対策「Trend Micro Mobile Security」
トレンドマイクロが提供する「Trend Micro Mobile Security」は、「ウイルスバスター コーポレートエディション 8.0」のプラグインとして開発された、法人向けのスマートフォン総合セキュリティ対策製品です。本製品によって、前述のスマートフォンにおけるセキュリティおよび管理の要件に対処することができます。
不正プログラム対策では、ウイルス検索エンジンが常駐することで、ウイルスの侵入をリアルタイムで検知します。またユーザによる手動検索も可能です。加えて、電話以外にもBluetoothやWi-Fiなど多くの通信機能を持つがゆえに不正侵入の危険が高いスマートフォンを守るため、「ステートフルインスペクション ファイアウォール」により不正侵入をブロックします。ポートの制御も可能なため、DoS攻撃対策にも有効です。
そして最も大きなリスクとして重視すべきポイントである紛失や盗難を原因とする情報漏えいへの対策も万全です。「Trend Micro Mobile Security」では、「AES 128bit」、「AES 192bit」、「AES 256bit」および「Triple DES」の暗号アルゴリズムを選択することが可能で、端末の業務データを安全に保護することができます。この機能は、本体メモリおよびSDカードの双方を対象とします。さらに、スマートフォンへ起動パスワードをかけ、仮に規定回数以上失敗した場合、端末にロックやソフトリセット、ハードリセットがかかるよう設定が可能です。これは例え電波の届かない場所にある端末であってもソフトリセットやハードリセットが可能なため、端末の安全性を確保しています。
また、運用、管理面においても、「ウイルスバスター コーポレートエディション 8.0」では、PCと合わせて1台の管理サーバで集中管理できるため、すでに導入済みのお客様は、見慣れたインターフェースで直感的にご利用いただけます。管理コンソールからは、スマートフォンへの一括したポリシー設定、端末のアップデート間隔の設定などが可能です。内部統制に対応しながら、業務の効率化、TCOの削減が実現できます。
現在「Trend Micro Mobile Security」は、Microsoft Windows Mobile 6.0および5.0に対応しており、サポート対象の機種も拡大中です。「このソリューションはソフトバンクモバイルとトレンドマイクロの双方で提供しているため、お客様側で導入やサポート窓口の一本化が可能となっています。業務へのスマートフォン導入をご検討中の方は、ぜひお問い合わせください(國枝氏)」。
・Apple、Appleのロゴは米国および他国のApple Inc.の登録商標です。
・iPhoneはApple Inc.の商標です。
・iPhone商標は、アイホン株式会社のライセンスに基づき使用されています。
・iPhone3Gは単独の通信業者のサービスでのみお使いいただけるよう設定されている場合があります。
・Microsoft、Windows Mobileは、米国Microsoft Corporationの米国及びその他の国における登録商標です。
・SOFTBANK およびソフトバンクの名称、ロゴは、日本国およびその他の国におけるソフトバンク株式会社の登録商標または商標です。
