スマートデバイス導入に潜むリスクと対策のポイント

(1)

スマートデバイス導入に潜むリスクと対策のポイント

Prowise Business Forum in NAGOYA vol.8

株式会社日立ソリューションズ

プラットフォームプロダクト本部プロダクト拡販支援センタ

2013/2/5

中川克幸

(2)

※1（分類項目） ◆利用場所：業務をどこで行うか ◆管理者のリスク認識：脅威やリスクを多少なりとも認識しているか否か ◆導入の意向：導入する意思があるか否か ◆導入の意思決定：導入するという意思決定をしたか否か ◆規定：規定（利用規定、管理規定、経理規定等）を明文化しているか否か ◆規定に基づく許可：規定に則り、申請/承認を経て業務での利用を認めているか否か

個人所有スマートデバイスの業務利用における利用状況のパターン

この２つはBYODと

考えることができる



16 BYODを許可する場合には、個人所有のスマートデバイスの業務利用に関するリスクを

認識した上で、組織として意思決定を行う必要があります。

参考：日本スマートフォンセキュリティ協会（JSSEC） BYODの現状と特性～あなたの組織はどのパターンですか～より一部抜粋

(18)

3-6 BYODを許可する場合の前提条件とリスク

漏洩範囲の

拡大

◆万が一盗難・紛失にあった場合

デバイス内のデータのみならず、

外部サービスで保持するデータにまで

情報の漏洩範囲が広がる可能性がある

盗難・紛失

による

情報漏洩

◆デバイス本体だけではなく

SIMカードなどが抜き取られる

可能性もある

マルウェア

感染

◆利用者がマルウェアを含む

アプリケーションをダウンロードし

感染する可能性がある

BYODを許可する場合の前提条件

①資産管理（有償アプリケーションの所有や管理、

盗難・紛失

時のデータの削除）には精査が必要

②デバイスが最初にインターネットに接続する

ネットワークは、制限できない

と考えるべき

③利用者が個人的に使っている

アプリケーションやサービスの利用禁止は、困難

㊙

パターンファイル

BYODを許可した場合に増加するリスク

上記の前提条件や、増加するリスクを許容できない企業はBYODを

禁止とするスマートデバイス利用ルールを策定すべき！

(19)

3-7 スマートデバイスを導入する際のステップ

18 スマートデバイスを導入する目的と適用範囲の明確化

・導入により、従業員や自社にどんなメリットがあるのか？

STEP.1

スマートデバイスをどこで利用させるのか

①社内

②社外 ③インターネットからの社内接続

STEP.2

_{どのスマートデバイスで業務利用を認めるのか}

①会社貸与デバイス ②個人利用デバイス ③会社、または個人のデバイス

STEP.3

スマートデバイス運用規定

（利用ルール）

をどこまで定めるか

①端末へのセキュリティ対策を、どこまで実施するか

②社内ネットワークに接続させるのか

③特定アプリケーションの利用を前提とするのか

※ 運用規定（利用ルール）には、機器の利用申請、盗難・紛失時の対応、廃棄等の手続きなども定める必要が

あります。そのためBYODを許可する場合には、運用規定の策定が、より難しくなります。

コ

ン

サ

ル

テ

ーシ

ョ

ン

を提供可能

ソ

リ

ュ

ーシ

ョ

ン

・サ

ービ

ス

を

提供可能

【導入の際に検討すべき項目】

お客様自身でのご確認が必要

(20)

(21)

4-1 スマートデバイス導入におけるリスクと対策例

20 対策

リスク

①スマートデバイス利用規定の策定

（セキュリティコンサルティングによる支援）

認可されていないスマートデバイスからの

不正アクセス

スマートデバイスの企業導入におけるリスクと対策

盗難・紛失による情報漏えい

不正な情報持ち出しによる情報漏えい

私的利用による生産性の低下

OSやアプリケーションの脆弱性を悪用された

ウイルス感染や情報漏えい

不適切なWebアクセスによるウイルス感染

②デバイス管理

（Mobile Device Management）

 デバイス情報の管理

（リモートロック/ワイプ）

 セキュリティポリシーの強制

 アプリケーションの管理

 通信設定（Wi-Fi、VPN）の管理

 ウィルス対策

③認証強化（端末、アプリ認証）



生体認証

 ICカード認証

④データの暗号化、持ち出し制御

 内蔵データ/外部メディア

 特定データの暗号化

⑤社内システムへのセキュアなアクセス

（通信経路暗号化）

 インターネット経由

 企業内セキュア無線LAN

クラウドサービスの不適切な利用による情報

漏えい

個人利用デバイスを許可なく業務で利用

(22)

4-2 対策①スマートデバイス利用規定の策定

豊富なコンサルティングメニューで、お客様のご要望にお応えします。

現状分析サービス

現状セキュリティ対策の妥当性を確認したい。

サイバー攻撃（APT）対策診断サービス

情報セキュリティシステム設計コンサルティング

ISO15408認証取得コンサルティング

セキュアシステム実践ガイドブック

セキュリアな製品・システム開発を行いたい。

ＩＴＩＬ簡易アセスメント

ＩＴＩＬ導入支援コンサルティング

ISO20000認証取得コンサルティング

効果的・効率的なITサービスを実現したい。

事業継続マネジメント策定コンサルティング

災害や事件・事故発生時にITの実施事項を明確にしたい。

情報セキュリティ監査サービス

セキュリティ規則が有効に機能しているか確認したい。

情報セキュリティポリシー策定コンサルティング

セキュリティ規則を明確にし、徹底させたい。

プライバシーマーク認定取得コンサルティング

個人情報を適正に管理していることをアピールしたい。

スマートフォン利用規定策定コンサルティング

スマートデバイスを業務で安全に利用できるIT環境を整備したい。

PCI DSS対応コンサルティング

クレジットカード取扱いシステムのセキュリティ対策を実施したい。

ISO27001認証取得コンサルティング

適切にセキュリティ対策を実施していることをアピールしたい。

コンサルテーション実績：２５０組織以上

(23)

ＭＤＭ【Mobile Device Management】

22 企業や組織がスマートデバイスを業務で利活用するうえで、必須の管理ツール

【一般的なＭＤＭ機能】

 デバイスの統合管理

• デバイス情報の一元管理と状態監視

• ポリシー、アプリケーション、

接続設定の一元管理

 プロビジョニング

• デバイスへのポリシー適用

• アプリケーション、通信設定の配布

 セキュリティ対策

• 遠隔ロック＆ワイプ（データ消去）

• セキュリティポリシーの強制

• デバイス機能のロックダウン

VPN

社内環境

社内／社外

ＭＤＭ

メール

機密ファイル

サーバ

㊙

証明書

サーバ

DB

サーバ

ディレクトリ

サーバ

Wi-Fi

4-2 対策②デバイス管理（MDM）

(24)

4-2 対策②デバイス管理（MDM）の選定ポイント

デバイス管理機能による選定

【対策のポイント】

 セキュリティポリシーの設定

パスコードの強制は必須！

⇒ パスコードの履歴とパスコードポリシーの強制

⇒ パスコード失敗時のアクション設定（ワイプなど）

 デバイス機能の制御

業務上、必要のない機能はロックダウン！

⇒ カメラなど、業務で使用しない機能は利用不可

 社内アクセス用の通信設定の管理

MDM管理下の認可されたデバイスだけに

社内アクセス用の通信設定を配布！

 アプリケーションの管理

推奨アプリや禁止アプリを設定！

⇒ カメラなど、業務で使用しない機能は利用不可

カメラ禁止

・ポリシー配信

・アプリ、通信設定の配布

禁止アプリ

㊙

社内システム

VPN機器

VPN接続設定

MDM管理サーバ

パスコードポリシーの強制

製品タイプでの選定

MDM製品は、その提供形態によって

サービス（ＳａａＳ）型

と

オンプレミス型

に大別される。

⇒ 運用要件やセキュリティ要件、コスト面などから総合的に判断する。

(25)

4-2 対策③認証強化（端末、アプリ認証）

24 静紋JS1/ ICカード利用

Android端末利用時のセキュリティを強化します！

ICカードでの

ｽｸﾘｰﾝﾛｯｸ解除

生体認証での

ｽｸﾘｰﾝﾛｯｸ解除

スマートデバイスの認証強化

業務アプリの

ログイン認証

社外利用がメインとなるスマートデバイスに、正当な利用者識別を

実現するための認証方式を提供

 紛失・盗難時の端末不正利用を防止したい

 利用者のなりすましによる社内への不正アクセスを防ぎたい

課題

【対策のポイント】

 端末利用時の正当な利用者識別

パスワード＋αの二要素認証によって、

利用者のなりすましを防止！

⇒ α：生体認証、ICカードなど

 アプリケーションログイン時の認証

端末認証だけでなく、スタンドアロン、ネット

ワークアプリログイン時のなりすましを防止！

⇒ アプリケーション利用時に、認証を実施

 認証強化可能な端末を選択

認証を強化するために必要なハードウェアと

製品を利用可能なOSを選択する必要あり

なりすまし

スマートデバイスを入手しても、端末利用＆不正アクセスできない！

(26)

4-2 対策④データの暗号化・持ち出し制御

【対策のポイント】

 内蔵データ、外部メディア（microSDカード）を暗号化

スマートデバイスは「大容量のUSBストレージ」！

 専用ソフトによる暗号化、持ち出し制御

利用者は意識することなく、自動的に暗号化／復号！

⇒ ログインによって暗号化されたデータにアクセスできる。

 特定データの暗号化、失効制御

オフィス文書をセキュアPDF化した上で、スマートデバイス

持ち出しを許可する。

⇒ 失効処理により、データ参照不可とする運用も可能

 スマートデバイスにデータを格納する必要がある

 万一の紛失・盗難時に、第三者にデータを利用されたくない

課題

業務利用としてスマートデバイスにデータを格納する場合には

万一に備えた安全対策を実施させる必要があります！

内蔵データや

SDカードを暗号化

暗号化されていない

デバイスへの持ち出し禁止

第三者

万一の盗難・紛失時

でも、暗号化により

第三者はデータ参照

が不可

(27)

4-2 対策⑤社内システムへのセキュアなアクセス

26  スマートデバイスを使用して、社内のデスクトップPCを操作したい

 スマートデバイスには業務データを残したくない

課題

【対策のポイント】

 リモートデスクトップを利用した遠隔操作

デスクトップPCの画面情報のみ転送！

⇒ 実データは転送も保存もされないので安心。

 機能制御によるセキュリティ強化

ファイル転送、ハードコピーや印刷を制御！

 二要素認証によるセキュリティ強化

デバイス認証＋ユーザID／パスワード認証で

接続時のセキュリティも確保！

 Wake-on-LAN機能

使いたいときだけ遠隔操作で電源ON ！

⇒ 節電対策やBCPへの対応としても有効。

スマートデバイスにはデータを格納せずに、社外からインターネット

経由で安全に社内システムを利用できます！

(28)

 無線LAN経由での社内への不正アクセスを防ぎたい

 社内システムへのアクセス設定を一元管理・配布したい

課題

【対策のポイント】

 暗号化・ユーザ認証によるセキュリティ強化

盗聴・なりすまし等の不正アクセスを防止！

 不正アクセスポイントを検知

無線電波の監視により、不正通信の検知・遮断、

不正アクセスポイントの特定が可能！

 ユーザごとのアクセス制御を提供

ユーザごとに詳細に適切な権限の設定が可能！

 MDM連携による接続設定の登録・削除

Wi-Fiの接続設定の登録・削除が可能！

⇒ 紛失・盗難時に接続設定を遠隔削除することが可能。

経営情報

認証

サーバ

一般ユーザ

管理者ユーザ

領収証印紙金額様領収証印紙金額様

一般業務

情報

無線LAN

機器

MDM

サーバ

Wi-Fi設定の

配布

4-2 対策⑤社内システムへのセキュアなアクセス

企業内にスマートデバイス向けのセキュアな無線LANアクセス

ポイントを提供できます。

(29)

28 セキュリティ重視

利便性重視

対策④データ暗号化・持ち出し制御

（端末にデータを置く場合）

日立ソリューションズ

・「秘文AE SmartDevice Encryption」

・「活文NAVIstaff」

• スマートデバイスにデータを持ち出すことは可能だが、必ず暗号化する • 持ち出しは自由にして、有事の際に無効化（失効）できるソリューションを提供

対策⑤社内システムへのセキュアなアクセス

（端末にデータを残さない）

・SaaS型「スマートフォンセキュアアクセスサービス」

・「Array DesktopDirect」

• スマートデバイスにデータを置かずに安全に社内システムを利用 • 社内デスクトップPCに対するセキュアなアクセスを実現

対策①スマートデバイス利用規定の策定

・「セキュリティコンサルティング」

• BYODを前提とした場合、セキュリティ重視にするのか、利便性重視にするのか、会社の方針を決定し、スマートデバイス利用規定の策定を支援

対策②デバイス管理（ＭＤＭ）

・SaaS型「スマートフォンセキュリティ統制サービス」

（端末管理、ウィルス対策、なりすまし対策）

・MDMパッケージ構築サービス（MobileIron、他）

• リモートロック/ワイプ • ポリシーの強制

対策③認証強化（端末、アプリ認証）

・「静紋JS1」

• 生体認証（指静脈）、ICカード認証（NFC）

・「ICカード認証」

4-3 スマートデバイス活用ソリューションの概要

• アプリケーション管理 • ウィルス対策

対策⑤社内システムへのセキュアなアクセス

・「Aruba」

• 企業内のセキュア無線LANアクセスポイントを提供

(30)

対策

商品・サービス

概要

対策①

スマートデバイス利用規定の策定

セキュリティコンサルティング

豊富なコンサルティングメニューでお客様のご要望にお応えしま

す。

対策②

デバイス管理（ＭＤＭ）

スマートフォンセキュリティ統制サービス

（端末管理、ウィルス対策、なりすまし対

策）

MDM、デバイス認証、ウイルス対策など、スマートデバイスに必要

なセキュリティ対策を設備投資が不要なクラウド型サービスとして

提供。必要なときに必要な規模で、短期間でセキュリティ対策を

実現します。

MDMパッケージ構築サービス

（MobileIron、他）

デバイス情報、セキュリティポリシー、WiFiやVPNの接続設定、ア

プリケーションを統合的に管理。盗難・紛失時には、遠隔ロック

＆ワイプで情報漏えいを防止。オンプレミスでのMDMシステム構

築に対応しており、ＩＤ・認証基盤との連携も可能。

対策③

認証強化（端末、アプリ認証）

静紋JS1

指静脈認証を利用し、Windowsログオン認証やスクリーンロック

の解除が可能。セキュリティと利便性を向上させます。

ICカード認証

Android端末における様々な認証（端末ロック、業務アプリ起動）

をICカードで行うパッケージです。

対策④

データ暗号化・持ち出し制御

秘文AE SmartDevice Encryption

（※）

スマートデバイスの盗難・紛失時の情報漏洩対策として、スマー

トデバイスの内蔵データ、外部メディアを自動的に暗号化。

活文NAVIstaff

社外(外部)に公開したドキュメントを管理・統制する仕組みを提

供。活文 NAVIStaffで保護したドキュメントは動的なアクセスコン

トロールや、失効処理を行えます。

対策⑤

社内システムへのセキュアなアク

セス

スマートフォンセキュアアクセスサービ

ス

スマートフォンから社内のメールサーバ、ファイルサーバ、Webサー

バにセキュアにアクセスできる法人向けSaaS型サービス。

Array DesktopDirect

スマートデバイスからオフィス内のパソコンを簡単にリモート操作

可能。Android、iPad/iPhoneなど、様々な端末で利用可能。

Aruba

有線ポートを備えていないスマートデバイスには無線環境が必須。

Arubaシリーズは、IPSec-VPNにより通信を暗号化して、セキュア

な無線LAN環境を提供。

4-3 スマートデバイス活用ソリューションの概要

(31)

まとめ

30 ・スマートデバイスを会社で購入し貸与すれば、PCと同様に

必要なセキュリティ対策を適用し管理することが可能です。

・BYODはリスクが高いという点のみが強調されがちですが、

リスクを許容することで、業務の効率化や費用削減、災害

対策など、その他のメリットを見出すこともできます。

企業は、スマートデバイスでどこまでの業務を実施

させるのかを明確にし、社内規定や運用体制の見

直しを行った上で、適切なセキュリティ対策の導入

を検討しなくてはいけません。

(32)

【ご参考】スマートデバイス関連のガイドライン

日本スマートフォンセキュリティフォーラム（ＪＳＳＥＣ）

『スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン

【第一版（BYOD基礎資料収録版）】

日本ネットワークセキュリティ協会（ＪＮＳＡ）

『スマートフォン活用セキュリティガイドライン』【β版】

企業や組織においてスマートデバイスを導入する

責任者・管理者向けに安心・安全にスマートデバイスを

業務で利活用するための対策ポイントが

ガイドラインとして整理されています。

http://www.jssec.org/report/20121119_guideline1_1.html

『スマートフォンネットワークセキュリティ実装ガイド』【第一版】

http://www.jssec.org/report/20120718.html

http://www.jnsa.org/result/2010.html

(33)

株式会社日立ソリューションズ