モバイル・セキュリティを再考せよ ～コンシューマIT時代に求められるスマートデバイス管理とは～

企業では、コンシューマで普及しているスマートフォンやタブレット端末などの「スマートデバイス」を業務利用する動きが急速に進んでいる。その裏で現場の社員が隠れて私物のスマートデバイスを業務に使用する「シャドーIT」が問題になっている。企業にスマートデバイスが広がる中、求められるセキュリティ対策とは何なのか。このたびホワイトペーパー「再考：モバイル・セキュリティ～隠れた端末利用『シャドーIT』に立ち向かえ～」を公開したアイ・ティ・アール（ITR）のシニア・アナリスト舘野真人氏と、内容に共感したトレンドマイクロ マーケティング本部 エンタープライズマーケティング部の坂本健太郎氏との対談が実現した。

潜む「シャドーIT」の脅威、先回りの対策が肝心

坂本：　モバイル・セキュリティ製品を販売する立場として日々感じているのですが、企業がセキュリティ対策を実施しようとすると、まず流行りのアルファベット3文字・4文字や、製品・サービス自体に関心を向ける傾向があり、なぜその製品・サービスが必要なのかという大元の理由を漠然としか考えていないように思います。舘野さんの執筆されたホワイトペーパー『再考：モバイル・セキュリティ～隠れた端末利用「シャドーIT」に立ち向かえ』を舘野さんのWebサイトで見つけたときに、本来企業が取り組むべきモバイル・セキュリティのあり方を教示してくれるホワイトペーパーになっていると思いました。ホワイトペーパーを公開した動機はなんだったのですか。

アイ・ティ・アール（ITR）
シニア・アナリスト
舘野真人氏

舘野：　職業柄、よくCIO（最高情報責任者）やIT部門長の方々とお話しさせていただくのですが、モバイル・セキュリティについてうかがうと、皆さんセキュリティの懸念はもっているのに「まだうちは本格導入をしていないので、具体的な対策はまだ先の課題」という漠然とした考えしか持っていない方が結構おられます。つまり、IT部門が中心となって時間をかけてユーザー部門の要件を取りまとめ、製品を選び、場合によってはカスタマイズして運用する--という典型的なエンタープライズITの導入プロセスを前提としているんですね。

　しかしスマートデバイスの場合は、企業がそれを導入する、しないを決定する前に、コンシューマ主導で爆発的に普及が進んでいるという現実があります。IT管理者が気づかない間に、社員が私物のデバイスを業務に使ってしまっている「シャドーIT」という状態になっている可能性は十分考えられるのです。CIOやIT部門長が考えている「導入していない＝業務にも活用していない＝セキュリティもまだ先の話」という常識は通用しません。

　まだスマートデバイスの導入を検討している、当分導入する気はないと考えている企業であっても、スマートフォンやタブレットなどのスマートデバイスはシャドーITになりやすいので、セキュリティだけは先手を打ってしっかり考えていきましょう、ということを呼びかけたいというのがホワイトペーパーを公開した一番大きな動機です。

坂本：　モバイル・セキュリティ対策を行わなければならない理由はシャドーITという存在があるからこそなんですね。

舘野：　利用の実態が見えない、管理ができない、という事態は、情報セキュリティ全般にとって最も避けなければならないことですが、いまのモバイル端末はその問題に直面しやすいといえます。シャドーITには、大きく分けると３つのタイプが想定されます。それは、(1)会社支給端末の社外（私的）利用、(2)私物端末の社内（業務）利用、(3)私物端末の社外（私的）利用、です。いずれも、従来であればIT部門の"管理区域外"と見なされてきた領域です。

　従来のIT部門は、「会社支給端末の社内（業務）利用」という限られた範囲のみを管理していましたが、これからは「管理の網を広げる」という発想に転換しないと、例えばTwitterに業務の情報を投稿され、管理者の目の届かないところで情報が漏えいするなど、セキュリティ・インシデントの発生リスクは高くなります。

　BYOD（＝Bring Your Own Device、私物のデバイスを業務に持ち込むの意）という言葉が話題になっていますが、これも実はシャドーIT対策の一環としてとらえるべきです。BYODというと、「企業が社員に対して自由を許す」と見られがちなのですが、実際は全面的に禁止をしてしまうと、完全に私物端末の利用が闇に潜ってしまいますから、あえて一定の条件下での利用を認め、その利用実態を可視化したほうがトータルのリスクが下げられるという合理性を重視した取り組みであるといえます。

　一番いいのは、会社でスマートデバイスを全従業員に配布してしまうことなのでしょうが、スマートデバイスのライフサイクルは短く、予算的にも一斉配布できる会社は限られています。であるならば、BYODにおけるセキュリティ保護は最初から考えておく必要があります。