ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

私物デバイスの利用についてのアドバイスお願いします。

08.06.2019
ISMS全般.  126 views

私物デバイスの利用についてのアドバイスお願いします。

現在、社員による私物デバイスによる外部からのアクセス(通話を除く)は下記と規定しています。
・メールシステムとグループウェアに原則限定した利用とする
・アクセスは許可したID及びパスワードを持つ従業者のみとする
・社外からのアクセスの目的を勤怠や申請書類の提出とする
・私用/会社貸与にかかわらず、顧客の連絡先は符号表記とする、です。

これらはPマークの規定で作成したものですが、一方で不安に思うのは、個人が無料で利用するクラウドストレージに、職場外での利用目的で社の機密情報ファイルやプロジェクトのプログラムなどをアップロード・ダウンロードしたり、無料の携帯名刺管理アプリを利用して顧客の名刺登録しているケースです。

社として認証する(例として、許可後に情報管理台帳に登録する)ものであれば、漏えい緊急時での把握は可能ですが、どのようなアプローチで情報管理すればいいでしょうか。

そのようなユーザーは悪意はないでしょうが、リスクが高いと思い、アドバイスお願いします。

BYOD(私物端末の業務利用)に対してのセキュリティ対策ですが、具体的に挙げると数多くありますので、考えるポイントを以下に示します。
①最低限のルールを会社として構築し運用する。
②BYOD機器および運用状況を会社で管理し監視する。
③教育の周知・徹底を行う。
上記のうち、技術的および物理的な対策としては、②になるかと思います。
これらの対策を考える際のポイントとしては、大きく分けて「端末の管理」と「情報資産へのアクセス管理」があるかと思います。

「端末の管理」では、最も一般的な方法で、例えば、紛失盗難時に遠隔から端末リセットを行えるようにしておくことや、危険なアプリの利用を制限する。OSやアプリケーションのバージョンなどを管理する。強力なパスワードを全デバイスに適用するといった対策などが考えられます。
「情報資産へのアクセス管理」については、例えば、クライアント証明書がインストールされた端末からのみ、社内ネットワーク、業務データへのアクセスを許可するといった方法や、BYODの端末では機密情報の閲覧はできず、社内のパソコンからのみにするなど端末を制限するといったもの。
または、端末上に業務に関する情報が一切残らないように、BYOD端末を業務利用する際は、常にリモートアクセスのサービスを利用するようといった対策などが考えられます。

BYODのセキュリティ対策は、端末の利便性という性質上、いかに可用性を損なうことなく対策できるかが重要になってくるかと思います。
よって、これら1つだけの対策ではなく、複合的な対策により対処することがが重要となります。

ご質問の件も、「端末の管理」と「資産へのアクセス管理」とを切り分けながら考えられた方が分かりやすいかもしれませんね。

例えば、「機密ファイルやプロジェクトのプログラムなどのアップロード・ダウンロード」であれば、情報(機密ファイルやプロジェクトのプログラムなど)へのアクセス管理をどのようにするのか。
個人利用のクラウドストレージを許可してしまうと、対策が困難であるため、組織が管理できるクラウドストレージを用意する等や、端末への保存は許可し、端末のセキュリティ対策で対応するなども考えられます。

費用および可能性を考慮する必要はありますが、以下のようなBYOD機器を管理するツールも出ていますので、このようなツールを検討しても良いかもしれませんね。
◆MDM:Mobile Device Management(モバイルデバイス管理)
◆MAM:Mobile Application Management(モバイルアプリケーション管理)
◆MCM:Mobile Contents Management(モバイルコンテンツ管理) など

以上、よろしくお願いいたします。