悩ましい!スマホのセキュリティ対策
スマホのセキュリティについては不安だらけだ。小さい上に常時携帯するものなので紛失、盗難のリスクがPCよりも大きい。ガラケー(単なる携帯電話)であれば、中にあるデータは、電話帳とショートメッセージくらいで、損失は限定的かも知れないが、スマホとなるとそうはいかない。
スマホの使われ方を考えると
私の勤務先でのスマホの使い方を考えてみると、紛失、盗難時のリスクの大きさが見えてくる。まずグループウェアのサイボウズだ。スマホのアプリからEメール、社内用のメール、スケジュール、顧客の情報、社内稟議、会社の重要書類などにもアクセス可能だ。サイボウズは、よくできたシステムで、仕事で必要なものをほとんど網羅できる。だからこそ、不正アクセスをされたらたまったものではない。次にChatwork。こちらも社外に漏れたらまずいデータが大量にありそうだ。メールよりは安全だからといろんなファイルを添付して送りあっていたりする。あとは、OUTLOOKやGmailなど。写真のデータも不安がある。総務部では、いろんな現場、事故の記録写真や修繕箇所の写真をスマホで撮影している。中にはマル秘扱いすべきものもあるはずだ。
そのためにMDMというものがある
MDMとは、Mobile Device Management の略。代表的なものとして、スマホのみならず、PCも管理できる、MOTEX(エムオーテックス)社のLANSCOPE(ランスコープ)という製品が知られている。その他にも、機能は限られるが、各キャリアが提供するMDMのサービスがある。私の勤務先はソフトバンクを利用しているので、ソフトバンクのMDMについて、確認してみた。
SoftBankのMDMはオプションだった
問い合わせをして初めて知ったのだが、MDMはオプションで、前任者達は、MDMをオーダーしていなかった。月額¥500くらいなんだけど・・・。少々慌てた私は、ソフトバンクの担当者にいろいろ質問した。
MDMなしで、紛失、盗難時にできることは?
契約内容にMDMは含まれていない。では現状で、事故が起きた場合、なにができるのか?なんと、回線を止めるだけ、とのことだった。回線の停止は、ソフトバンクのサポート(ソフトバンク携帯電話からは113、一般電話からは0800-919-0113)に依頼すれば、24時間-365日で対応してもらえる。しかし、回線の停止というのは、言い換えれば「圏外」にする、ということと同じことだ。圏外であっても、Wi-Fiが使えれば、電話以外の機能を止める手立てはない。考えてみれば、当たり前だが、虚を突かれる思いだった。
MDMも万能ではない
では、ソフトバンクのMDMを利用すると、何ができるのか?「圏内」またはWi-Fiでネットにつながっていれば、スマホをロックしてしまうこと、あるいは中のデータを消去してしまうことができる。しかし、そうでない場合は、これまた、MDMでは手が出せない状態となる。最悪のパターンとしては、スマホを盗まれ、盗難直後にSIMカードを抜かれ、Wi-FiもOFFに、なおかつ、スマホのコードを知られてしまっている場合、スマホ内のすべてのデータを抜かれてしまうことになる。
MDM以外のセキュリティ対策
管理者がキッティング
結局、スマホの場合、いちばん大事なのは、パスコードを設定しておくことだということになる。これを支給された社員任せにしてしまうと、設定せずに使い始める人が何人か出てくる。自分のスマホだったら絶対しないようなことを、なんで会社支給のスマホではやってくれるのか。(年配の社員で、え?なんで電話機にパスワードが必要なの?、という素朴な人もいた。ガラケー時代の感覚をひきずっているのかもしれない)やはり管理部門でキッティングし、パスコードも設定したうえで、社員に支給、というのが、手間はかかるがベストであろう。何千人もいる会社となると、不可能なのかも知れないが、200〜300人規模の会社だったら、なんとかなるのではないか。
証明書方式
業務上、重要なウェブアプリをスマホに入れている場合もある。私の勤務先ではグループウェアであるサイボウズを使っており、スマホで使うものも多い。スマホで使用する場合は、クライアント証明書による認証を行っている。証明書はサイボウズの管理画面上で無効にしてしまうこともできるので、デバイスがどういう環境に置かれていても関係なく、アクセスをシャットアウトすることができる。オプション費用は月額で¥275(税込)のみなので、サイボウズを導入しているのなら、お勧め。
UUIDによる識別
UUIDというのは、Universally Unique Identifier の略。和訳すると「世界でただ一つのID」くらいの意味だろうか。誰でも好きな時にID(32桁の16進数)を生成できるシステムで、そのIDが重複してしまう確率を、無視していいほど低くできる。勝手に作れるけど唯一無二のID。これを利用してデバイスを登録し、そのデバイスだけを認証する、という仕組みを作れる。ビジネスチャットで、国内利用者数1位のChatworkは、エンタープライズプランで契約すると、このUUIDによる認証方式を利用できる。社員がスマホでChatworkを使おうとした際、自動で管理者にリクエストと自動で生成されたUUIDが届く。管理者は、そのリクエストを見て、問題がないか、確認。届いたUUIDをアクセス許可のリストに登録することで、UUIDを持つスマホは、Chatworkを使うことができるようになる。従って、紛失などの事故発生時は、管理者がアクセス許可リストから、該当するスマホのUUIDを削除するだけで、アクセスを遮断することができる。
そして社員教育
紛失や盗難の発生時に、どれくらいの損害が生じる(可能性がある)か、社員の皆さんにも認識してもらうべきだ。それによって、パスコードを設定せずに使う輩が減る。実はこれが一番大事な対策かも知れない。