あずさ監査法人 スマートフォン利用は事前検討が最重要(あずさ監査法人による講演)

スマートフォンの企業導入について、あずさ監査法人が第三者の目で解説したセミナーで強調したのは、導入に至る前、つまり、初期段階における検討の重要性だ。また、スマートフォンにおける具体的なリスクの洗い出し方法や、専門家を交えた検討を実施することの効果などについて語られた。

スマートフォンの利便性とリスクの確認

あずさ監査法人 ビジネス・アドバイザリー事業部 シニア 戸次拓三氏 あずさ監査法人
ビジネス・アドバイザリー事業部
シニア 戸次拓三氏

 スマートフォン導入の重要なポイントとしてあずさ監査法人 ビジネス・アドバイザリー事業部 シニアの戸次(へつぎ)拓三氏が挙げたのは、根本的な部分の再確認だ。スマートフォンとはその定義があいまいであるからこそ、自社でスマートフォンの定義を明確にしたうえで、スマートフォンのメリットとその裏腹にあるデメリットを認識しなければならない。

 「たとえば、PC並の高機能であるというメリットがあるということは、一方で、PC並の管理をしなければいけないデメリットがあります。同様に、小型で持ち歩き易いメリットがあるということは、一方で紛失のリスクも高いというデメリットがあるわけです。さらに、常にネットワークに接続している状態であるスマートフォンは、利用形態によってはPC以上のセキュリティ対策が求められます」と戸次氏は指摘する。

 スマートフォンの使い方によってリスクが変化することも重要なポイントだ。通話や携帯メール、予定表といった機能のみを利用する限定的な運用方法ならば、リスクも限定的になる。しかしながら、社内メールの送受信や業務システムへの接続、資料データの持ち出しなど自社内にある情報資産を広く利用するのであれば、PC運用に近いリスクが発生する。「自社内の利用形態に合わせたセキュリティ対策を検討することが重要です。対策が甘いのも問題ですが、必要以上のセキュリティ対策を実装してしまうと、ユーザーの利便性が低くなり、スマートフォンを導入した本来の意図とずれてしまう可能性があります」と語った戸次氏は、ユーザーの生産性とセキュリティ対策のバランスを取ることの重要さを強調した。

ページトップへ>>

リスク整理と運用規定の整備がポイント

 利便性と安全性を両立させるためには、導入前にスマートフォンの利用方法や範囲を確認し、リスクの整理をしなければならない。「具体的なリスクを洗い出し、対応を検討するには、情報セキュリティの専門知識を持った社員、もしくは外部専門家が加わるのが効果的です」と戸次氏。

 スマートフォン利用のリスクは、PC並のことができる処理能力の高さ、ポケットに入れて持ち運べる携帯性、常時ネットワークに接続している上に無線LANなども容易に利用できるネットワーク接続の簡便さ、及び独自ソフトウェア開発の容易さといった4つの要因が複合的に組み合わさることで発生する。そのため、リスクを網羅的に洗い出すには、その要因を踏まえたリスクシナリオを具体的に考える必要があり、専門的な知識をもった人間が加わることが効果的なのだ。

 また、運用にあたってはスマートフォンに関連した規程類の整備も忘れてはならない。導入するスマートフォンの管理方法や運用規定をまとめるだけでなく、従前の情報管理規程類との整合性も確認したい。「たとえば、情報管理規程類に「機密情報の持ち出しには上長の許可が必要」という規定が存在する場合、解釈によってはスマートフォンを自社外で利用すること自体がセキュリティ規定の違反になってしまう可能性があります。しかし、規定に従って社内のみの使用に限定したのでは、スマートフォン導入の意味がありません。バランスをとった運用規定の制定や見直しが重要です」と戸次氏は語り、セッションは終了した。

図1 スマートフォンのリスク整理方法 図1 スマートフォンのリスク整理方法(クリックで拡大画像表示
ページトップへ>>

スマートフォンの独自機能を友好的に活用することで効果的なセキュリティ管理を実現

 リスクを整理した後は、対策を行うことになる。この時にも、先ほど記載したバランス感覚が必要だ。整理されたリスクのうち、システム側で制御可能な項目については、物理的に機能を停止し、ユーザーがその機能を使用できなくすることが非常に有効だ。さらにその方法として、端末固有機能での停止以外に、スマートフォン管理サーバ等を利用したリモートでの機能制御も検討したい。「たとえば1000台規模での導入にあたって、端末固有機能を利用するために管理部門が手作業で処理するのはナンセンスです。だからこそ、システム運用者の管理負荷についても考慮しながら、システム側でいかに制御できるかを検討に含めてほしい」と戸次氏。

 情報セキュリティを適正化し、管理負荷も低減しながらの導入を実現するためには、導入の初期段階からの検討が必要になる。スケジュール優先で導入し、運用開始後に発見されたリスクに対処するという手法では、情報セキュリティの適正化が実現できないだけでなく、できあがったシステムに再度手を加えることによる影響等の技術的な制約などから、「あるべき姿」を実現できない可能性も高くなってしまうことも指摘し、戸次氏のセッションは終了した。

図2 ユーザーの生産性やリスクを軽視したために起こる課題 図2 ユーザーの生産性やリスクを軽視したために起こる課題(クリックで拡大画像表示
ページトップへ>>

詳しい内容はホワイトペーパーで!

【スマートフォン導入による業務の効率化や情報セキュリティ管理対策についてを解説】「スマートフォンの実践的活用と情報セキュリティ管理セミナー」資料
【スマートフォン導入による業務の効率化や情報セキュリティ管理対策についてを解説】
「スマートフォンの実践的活用と情報セキュリティ管理セミナー」資料

本資料は2010年4月14日に実施されたあずさ監査法人とマイクロソフト株式会社の共催セミナー「スマートフォンの実践活用と情報セキュリティ管理セミナー」の講演資料になります。

ホワイトペーパー
【スマートフォン導入による業務の効率化や情報セキュリティ管理対策についてを解説】「スマートフォンの実践的活用と情報セキュリティ管理セミナー」資料
【スマートフォン導入による業務の効率化や情報セキュリティ管理対策についてを解説】
「スマートフォンの実践的活用と情報セキュリティ管理セミナー」資料

本資料は2010年4月14日に実施されたあずさ監査法人とマイクロソフト株式会社の共催セミナー「スマートフォンの実践活用と情報セキュリティ管理セミナー」の講演資料になります。

提供:マイクロソフト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部