モバイル機器とISO27001

ISO27001 の認証を取得するときにIT企業を主として課題となるのがモバイル機器のセキュリティ対策です。モバイル機器とは、スマートフォンはもちろんのこと、ノートPCやタブレット端末のことを指しますが、持ち運びが容易なこれらの端末は、情報セキュリティ上のリスクを含んでいます。

ISO27001では、これらのセキュリティを考慮したセキュリティ対策を講じることが望ましいと明記していますが、具体的にはどのような対策を取るのが良いのでしょうか？

ISO27001が提示するモバイル機器のセキュリティ

ISO27001の具体的な管理策を取りまとめたISO27002では、モバイル機器に関するセキュリティとして以下のような記述があります。

モバイル機器を用いる場合，業務情報が危険にさらされないことを確実にするために，特別な注意を払うことが望ましい。モバイル機器の方針は，保護されていない環境におけるモバイル機器を用いた作業のリスクを考慮に入れることが望ましい。モバイル機器の方針では，次の事項を考慮することが望ましい。

• a)モバイル機器の登録
• b)物理的保護についての要求事項
• c)ソフトウェアのインストールの制限
• d)モバイル機器のソフトウェアのバージョン及びパッチ適用に対する要求事項
• e)情報サービスへの接続の制限
• f)アクセス制御
• g)暗号技術
• h)マルウェアからの保護
• i)遠隔操作による機器の無効化，データの消去又はロック
• j)バックアップ
• k)ウェブサービス及びウェブアプリケーションの使用

ISO27002

これらの方針についていくつかピックアップして確認していきましょう。

モバイル機器の登録

モバイル機器は便利なものである一方、従業員一人ひとりが持つとそれなりに経費がかかるものであります。そのため、従業員の私用の端末を業務に使用させることも屡々あるでしょう。ーーしかし、私用携帯やPCは企業の管理することができる範疇を超えているため、社用のものを登録して管理していくことが望ましいといえます。

ソフトウェアのインストール制限

ソフトウェアとは、インストール可能なもののことを指しますが、一部のソフトウェアは利用者の端末から情報を抜き出すことを目的に組まれているものもあります。このため、端末にインストールすることができるソフトウェアは制限をかけておくべきでしょう。

アクセス制限や利用制限

インストールを行わなかったとしても、Webサイト上には情報セキュリティ上のリスクは多数存在します。いわゆるフィッシングサイトなどと呼ばれるものがこれに当たりますが、こういったサイトにアクセスさせないために一部コントロールすることが望ましいです。

バックアップ

情報セキュリティリスクといえば不正アクセス、情報漏えいなどのインシデントに目が言ってしまいがちですが、情報が紛失してしまうというリスクにも目を向けておく必要があります。解決策としてバックアップサービスを利用するという方法もありますが、バックアップサービスの多くはクラウドサービスを利用するものであるため、クラウドサービスを利用することで別のセキュリティリスクが発生します。

適切な対策を取るため、社内でバックアップ規定を定めておくことが望ましいでしょう。

物理的なセキュリティ対策も考慮しよう

情報セキュリティ上のリスクは端末の使用によってのみ発生するものばかりではありません。例えば機器の盗難や紛失は非常に大きなセキュリティ上のリスクです。事実、居酒屋で飲み会帰りにPCを紛失してしまい、社内の情報が出回って問題になってしまったというケースも存在します。

また、社外で作業を行う場合には、公共無線LANなどへの対策も必要になります。無線LAN環境では、情報を盗み取ることは非常に容易となってしまうため、接続するだけでインシデントが発生するケースも少なくはありません。使用者が正しいセキュリティの知識を身に着け、セキュリティを確保するための対策をとっておくことも必要となってくるのです。

まとめ

今回は、モバイル端末のセキュリティ管理策についてご紹介してきました。モバイル端末は非常に便利なものでありますが、それだけ多くのセキュリティリスクを孕んでいるということを理解し、適切な対策を取るようにしておきましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。