企業が実施すべきスマートデバイス利用時のセキュリティ対策

(1)

企業が実施すべきスマートデバイス利用時の

セキュリティ対策

株式会社日立ソリューションズ

プラットフォームプロダクト本部プロダクト拡販支援センタ

2013年6月26日

グループマネージャ中川克幸

～BYODにも適用可能なセキュリティ対策のご紹介～

(2)

1. スマートデバイスの可能性

2. スマートデバイス利用時のリスク

3. BYODのメリットとデメリット

4. スマートデバイスセキュリティ十則

5. 当社ソリューションのご紹介

(3)

(4)

1-1 ポストPCの時代の到来

3 スマートフォンとタブレット端末がコンピュータ市場をけん引時代は、

スマートデバイスが主役の「

ポストPCの時代

」へ

専用端末の時代

1970年代～

PCの時代

1990年代～

ポストPCの時代

2010年代～

専門オペレータがメイン

フレーム専用端末を使用

していた時代

従業員が会社が支給する

PCを使って業務を行って

いた時代

PCに加え、スマートフォンや

タブレット端末等、利用者

がシーン毎にさまざまな

デバイスを利用する時代

(5)

1-2 スマートデバイスの特徴

4 軽量、薄型で

持ち運びやすい

「

どこでも使える

」「

簡単に使える

」「

すぐに使える

」

優れたモビリティを特徴とするスマートデバイスの可能性は大きい

どこでも

簡単

すぐに

大画面、タッチパネル

式で直感的に操作で

きる

スリープ状態から即

復帰、すぐに使い始

められる

(6)

1-3 スマートデバイス活用で変わるビジネス

5 スマートデバイスの利便性に

企業も注目

(7)

1-4 導入の目的

6 「メールとスケジュールの確認だけ」は昔の話

今や、企業は

幅広い業務用途

でのスマートデバイス活用を検討

iPad

仮想

デスクトップ

勤怠管理

ペーパーレス

会議

クラウド

リモート

アクセス

音声通話

業務データ

参照・更新

地図ナビ

交通案内

プレゼン

スケジューラ

Ｗｅｂ

メール

オーダー

端末

電子ポップ

ＢＣＰ

在宅勤務

ｅラーニング

(8)

1-5 スマートデバイスの種類

7 ノートPCの後継

としては、

Windows 8タブレット

が最有力

（アプリケーション資産やPC管理ノウハウ等が

無駄にならない

）

PC

スマートデバイス

※参考：日本マイクロソフト株式会社タブレット型PC「Surface Pro」発表会（2013/05/29） http://news.mynavi.jp/articles/2013/05/30/surface_pro_report/index.html

会社内と外出先

で使用

データ編集

・参照両方

で使用

PCの延長線上

で管理可能

（資産管理ツール等で管理）

外出先

で使用するケースが多い

主にメールや資料等の

参照

に使用

スマートデバイス固有の管理

が必要

（MDMを使用する等）

(9)

(10)

2-1 スマートデバイス利用時の代表的なリスク

9 FW

DMZ

社内ネットワーク

社内システム

社内セキュリティ対策の迂回

㊙

クラウドストレージの利用

クラウドサービス経由での漏洩

社外での利用

㊙

アカウントの漏洩

業務外アプリの利用

公共アクセスポイントへの接続

端末の紛失・盗難

社内での利用

ウイルス拡散

管理外端末からの不正アクセス

不適切な廃棄

㊙

通信経路上での盗聴

第三者の攻撃

(11)

2-2 社内での主なリスク

10 社内での主なリスク

ウイルス、マルウェアの拡散

管理外端末からの不正アクセス

不適切な廃棄

㊙

・マルウェアに感染していたスマートデバイスを

USBケーブルでPCに接続したことにより、

PCが感染、ネットワークに拡散する

・管理外端末から社内Webシステム等に

不正にアクセスされる

・正規の手順に従わずにスマートデバイスを廃棄

すると、利用者のデータが残留した状態のまま

再利用されてしまう

(12)

11 社外での主なリスク

端末の紛失・盗難

通信経路上での盗聴

クラウドサービス経由の漏洩

2-3 社外での主なリスク

㊙

・スマートデバイスに格納して

いたデータを第三者に利用

される

・必要な対策を実施せずにシステムに

アクセスした際に、通信を盗聴、

解析されてしまう

・クラウドストレージに保存したデータが

クラウド業者への攻撃によって

漏洩する

(13)

企業内

Wi-Fi AP

業務で利用する外部サービス

㊙

公衆Wi-Fi/

Wi-Fiルータ

インターネット

３G/４G

Wi-Fi

A

携帯電話

回線

通信事業者

閉域網

企業内ネットワーク

Webフィルタ

業務システム

外部公開システム

なりすまし盗聴不正利用不正アクセス不正AP設置なりすまし機器障害不正アクセス

Firewall / VPN装置

B

不正利用（業務外利用）

C

なりすまし不正利用不正AP設置

D

通信規制回線障害

C

A:企業内Wi-Fi との接続点

B:VPN接続点（Firewall・VPN装置）

C:携帯電話回線/通信事業者閉城網との接続点

D:公衆Wi-Fi/Wi-Fiルータとの接続点

VPN

2-4 ネットワーク接続時のリスク

12 ネットワーク接続時のリスク

※参考：日本スマートフォンセキュリティ協会（JSSEC）スマートフォンネットワークセキュリティ実装ガイド～スマートフォンの業務利用における安全なネットワーク利用のために～より一部抜粋

(14)

13 利用許可の有無及び利用者の識別に関する課題

社内システム/ネットワークへの影響

スマートデバイス上で取り扱うデータに関する課題

利用者が個人所有のスマートデバイスを届出無しに業務に利

用できてしまうことを防ぐため、未登録機器のネットワーク接続

を防止する等の対策が必要となる（無許可スマートフォンの業

務利用を禁止する通達の発行なども必要）

社内ネットワークへのアクセスを行うスマートデバイスがマル

ウェアに感染していた場合、社内ネットワークにマルウェアが

拡散してしまう可能性がある（社内ネットワークとは分離するこ

とが望ましい）

スマートデバイスではPCと同等のデータを扱うことができるため、

データの種類によって取扱い可否を決めたり、利用を制限すること

が困難

アクセスや保存先を制限する対策や、利用者のリテラシーを向上さ

せる取り組みが必要

社内ネットワーク

㊙

個人情報

機密情報

スマートデバイスの可用性に

関する課題

機器の故障や紛失が発生した場合、迅速

に代替機への切り替え（データの回復含

む）を行えるようにしなくてはならない

スマートデバイスを廃棄する

際の課題

廃棄が発生する場合、蓄積された利用者

のデータが残留しないように注意しなくて

はならない

㊙

最重要課題

※参考：日本ネットワークセキュリティ協会（JNSA）スマートフォンの安全な利活用のすすめ～スマートフォン利用ガイドライン～より一部抜粋

2-5 スマートデバイスの業務利用における課題

(15)

(16)

3-1 BYODとは

15 BYOD（Bring Your Own Device）を一言でいうと“

私物解禁

”

私物のスマートフォンやタブレットを業務で利用することをいう

■ 業務メール

■ スケジューラ

■ 電子カタログ

■ 進捗報告

■ TV会議

■ SNS

■ 写真

■ 音楽

■ ゲーム

■ クーポン

(17)

BYODのメリット

業務

効率化

従業員が自分の使い

慣れた端末で情報管

理を一本化可能

使い慣れたデバイスを

利用するため操作の

教育を最小限で抑えら

れる

費用

削減

企業が従業員に

端末を支給せず

に済む

紛失

故障リスク

の低減

個人所有のため

大切に扱われる

ので紛失や故障

のリスクを低減で

きる

災害

対策

コミュニケーション

ツール

（SNS/Twitter)を利

用することで避難場

所などの有益な情報

を提供・享受できる

3-2 BYODのメリット

16

※出典：日本スマートフォンセキュリティ協会（JSSEC）「BYODの現状と特性～あなたの組織はどのパターンですか～」より一部抜粋

BYODのメリットは

費用削減

と

業務効率の向上

地震や洪水等を契機に、

災害対策

としても注目

(18)

漏洩範囲の

拡大

万が一盗難・紛失にあった場合、デバ

イス内のデータのみならず、外部サービ

スで保持するデータにまで情報の漏洩

範囲が広がる可能性がある

盗難・紛失

による

情報漏洩

デバイス本体だけではなく

SIMカードなどが抜き取ら

れる可能性もある

マルウェア

感染

利用者がマルウェアを含むア

プリケーションをダウンロードし

感染する可能性がある

BYODを許可する場合の前提条件

1. 資産管理（有償アプリケーションの所有や管理、

盗難・紛失

時のデータの削除）には精査が必要

2. デバイスが最初にインターネットに接続する

ネットワークは、制限できない

と考えるべき

3. 利用者が個人的に使っている

アプリケーションやサービスの利用禁止は困難

㊙

パターンファイル

BYODを許可した場合に増加するリスク

17

※出典：日本スマートフォンセキュリティ協会（JSSEC）「BYODの現状と特性～あなたの組織はどのパターンですか～」より一部抜粋

BYODのデメリットは

管理コスト

と

セキュリティリスクの増加

BYOD是非の判断はメリット/デメリットを考慮し

総合的判断

を

3-3 BYODのデメリット

(19)

18 スマートデバイスを導入する目的と適用範囲の明確化

・導入により、従業員や自社にどんなメリットがあるのか？

STEP.1

スマートデバイスをどこで利用させるのか

①社内 ②社外 ③インターネットからの社内接続

STEP.2

_{どのスマートデバイスで業務利用を認めるのか}

①会社貸与デバイス ②個人利用デバイス ③会社、または個人のデバイス

STEP.3

スマートデバイス運用規定

（利用ルール）

をどこまで定めるか

①端末へのセキュリティ対策を、どこまで実施するか

②社内ネットワークに接続させるのか

③特定アプリケーションの利用を前提とするのか

※ 運用規定（利用ルール）には、機器の利用申請、盗難・紛失時の対応、廃棄等の手続きなども定める必要が

あります。そのためBYODを許可する場合には、運用規定の策定が、より難しくなります。

コ

ン

サ

ル

テ

ー

シ

ョ

ン

を

提供可能

ソ

リ

ュ

ー

シ

ョ

ン

・サ

ー

ビ

ス

を

提供可能

【導入の際に検討すべき項目】

お客様自身でのご確認が必要

3-4 スマートデバイスを導入する際のステップ

(20)

(21)

20 【スマートデバイスセキュリティ十則】

スマートデバイスセキュリティ十則

一、セキュリティ規程を定める

二、継続的にユーザを教育する

三、デバイス利用申請書を提出させる

四、接続許可するネットワークを限定する

五、データの暗号化を義務付ける

六、デバイスを管理する

七、アプリケーションを管理する

八、デバイスの認証を強化する

九、マルウェア対策を義務付ける

十、インシデントの予兆を見逃さない

(22)

一、セキュリティのルールを定める

21 スマートデバイスの特性やリスクを考慮した

セキュリティ規程を策定すべし

【ポイント】

 リスク分析に基づき規程を策定

スマートデバイス固有のリスクや業務の実

態等を考慮し、リスク分析に基づいてセキュ

リティ規程を策定する

 専門家に相談

スマートデバイスのセキュリティに経験のある

コンサルタントを雇い、適宜相談する

(23)

22 策定したセキュリティポリシーや利用規程に

基づき、継続的にユーザを教育すべし

【ポイント】

 継続的なユーザ教育の実施

継続的・定期的にユーザ教育を実施し、

ユーザのセキュリティ意識の向上を図る（教

育終了後、誓約書を提出させると効果的）

 サービスデスクやFAQの整備

ユーザに対する相談窓口を設置し、フィード

バックに基づきルールの継続的改善を図る

二、継続的にユーザを教育する

(24)

23 ユーザにスマートデバイスの利用申請書の提

出を義務付けるべし（特にBYOD許可時）

【ポイント】

 申請書の提出の義務化

（特にBYOD許可時）

スマートデバイスの利用開始、機種変更、

紛失、破棄時の申請書提出を義務付ける

 キッティングと廃棄処理

申請と併せて、スマートデバイス運用規程

に定めたキッティングと廃棄処理を行う

三、デバイス利用申請書を提出させる

(25)

24 スマートデバイスの接続を許可するネットワーク

を限定すべし

【ポイント】

Wi-Fiアクセスポイントを制限

スマートデバイスから接続を許可するWi-Fi

アクセスポイントやネットワークを制限する

インターネットからの接続を制限

会社のネットワークへ接続する際には、

SSL-VPNなど、セキュアな通信環境での

アクセスのみを許可し、安全を確保する

四、接続許可するネットワークを限定する

(26)

25 スマートデバイスの格納データや、

共有データは、暗号化を徹底すべし

【ポイント】

 デバイスや外部メディアの

暗号化を義務化

デバイスや外部メディアに格納するデータを

暗号化し、万が一の盗難・紛失に備える

 クラウド上の共有データも暗号化

クラウドストレージ上の共有データやバック

アップデータ等も忘れずに暗号化する

五、データの暗号化を義務付ける

(27)

26 スマートデバイス紛失時の遠隔消去や

機能制限等を実施すべし

【ポイント】

 デバイス紛失時に遠隔消去

デバイス紛失に備え、遠隔消去や遠隔ロッ

クの手段を確保する（消去に備え、データ

バックアップの義務化も合わせて行う）

 デバイスの機能を制限

カメラやゲームの使用を禁止する等、利用

規程に沿って、デバイスの機能を制限する

六、デバイスを管理する

(28)

27 利用を許可するアプリケーションを管理すべし

【ポイント】

アプリケーションの配布

適宜アプリケーションの配布やアップデートを

行う

アプリケーションの使用を制限

業務利用のアプリケーション以外は、利用

規程で禁止したり、アプリケーション導入時

の申請書提出を義務付ける

七、アプリケーションを管理する

(29)

28 スマートデバイスの認証を強化し、なりすましや

第三者に不正利用されることを防止すべし

【ポイント】

 複雑なパスワードの使用を義務化

単純なパスワードや第三者に推測されや

すいパスワードの使用を禁止する

 二要素認証

パスワード＋αの二要素認証（生体認証

や外部デバイスを使った認証）で、認証を

強化し、なりすましを防止する

八、デバイスの認証を強化する

(30)

29 スマートデバイスへのマルウェア対策ソフトの

導入を義務化すべし

【ポイント】

マルウェア対策ソフトを導入

スマートデバイスへのマルウェア対策ソフト

の導入を義務化する

マルウェア対策状況の把握

デバイス情報を定期的に収集し、マルウェ

ア対策ソフトの導入有無やOSの脆弱性が

放置されていないか等をチェックする

九、マルウェア対策を義務付ける

(31)

30 重要ファイルへのアクセスやトラフィック監視

等を行い、インシデントの予兆を検知すべし

【ポイント】

定期的な監視

重要ファイルへのアクセス履歴やネットワー

クトラフィック等の監視を定期的に行う

インシデント対応体制の整備

万が一のインシデント発生に備え、体制整

備や対応フローの策定を行う（サービスデス

クとの連携も有効）

十、インシデントの予兆を見逃さない

(32)

31 【スマートデバイスセキュリティ十則】

まとめ

一、セキュリティ規程を定める

二、継続的にユーザを教育する

三、デバイス利用申請書を提出させる

四、接続許可するネットワークを限定する

五、データの暗号化を義務付ける

六、デバイスを管理する

七、アプリケーションを管理する

八、デバイスの認証を強化する

九、マルウェア対策を義務付ける

十、インシデントの予兆を見逃さない

コンサル

ティング

ネットワーク

セキュリティ

データ

セキュリティ

端末

セキュリティ

共通

(33)

(34)

5-1 当社のトータルセキュリティソリューション

33 豊富な実績の当社ソリューションが

貴社のセキュリティを

トータルにサポート

致します

コンサルティング

データセキュリティ

ネットワークセキュリティ

端末セキュリティ

スマートフォン利用規程

策定コンサルティング

Arubaシリーズ

ICカード認証

パロアルトネットワークス PAシリーズ

Array DesktopDirect

秘文AE SmartDevice Extension

秘文AE SmartDevice Encryption

ＭＤＭ

スマートフォン

_{セキュリティ統制サービス}

静紋JS1

秘文 Cloud Data Protection

(35)

5-2 スマートフォン利用規程策定コンサルティング

34 セキュリティ・コンサルテーションの実績は、

250組織以上

経験豊富なコンサルタント

がルール作りを支援

スマートデバイスのルール作りをサポート

スマートフォン利用規程策定コンサルティング

コンサルティング

(36)

5-3 Aruba

35 ■

コントローラー

■

アクセスポイント

■

有線並みの高速性＆安定性

■

小型軽量のアクセスポイント

■

大規模で差がでる運用性

■

強固なセキュリティ

端末数が増えても安定した通信速度

IEEE802.11ac対応

ユーザ毎のアクセス制御

米国セキュリティ要件FIPS140-2対応

APをコントローラで一括制御

電波の強度やチャネルの自動調整

設置場所を選ばす大規模工事不要

高いセキュリティ

、

容易な運用管理

、

高パフォーマンス

エンタープライズ向け無線LANシステム

セキュア無線LANシステム

Arubaシリーズ

ネットワークセキュリティ

(37)

5-4 パロアルトネットワークス PAシリーズ

36 業務外の

アプリケーションを遮断

特定の部署のみ

SNSの利用を許可

閲覧のみで

書き込みの禁止

マルウェア感染が疑われる端末の特定

iP

a

d

独自のアプリケーション識別技術

で情報漏えいにつながる通信を

リアルタイム

に特定して遮断する

次世代ファイアウォール

パロアルトネットワークス PAシリーズ

ネットワークセキュリティ

(38)

5-5 Array DesktopDirect

37 オフィス環境

Array DesktopDirect

●iPadやAndroid端末

Windowsなどマルチデバイス対応

●専用のアプリケーションで

統一された操作性

自席ＰＣ

iPad Galaxy Tab

●SSL暗号化通信

外出先/自宅/海外など

リモートデスクトップ

●リモートから

自席PCの

電源ON可能

インターネット

RDPに必要な機能をオールインワンでご提供

●ユーザＩＤ認証

●個体識別認証

オフィスのパソコンを、いつでも、どこでも利用可能に

ビジネスで使えるセキュリティ

を備えた

リモートデスクトップ

マルチデバイス対応リモートデスクトップ

Array DesktopDirect

ネットワークセキュリティ

(39)

5-6 秘文AE SmartDevice Extension

38 Windowsタブレット

に必要な情報漏洩対策を

ワンパッケージ

で提供

Wi-Fi制御と暗号化

により社外利用時の情報漏洩対策を実現

信頼と実績の

秘文で暗号化

専用のネットワーク

機器やサーバは不要

【製品の特長】

Windowsタブレットに必要な情報漏洩対策

秘文AE SmartDevice Extension

会社が許可した安全な無線LAN環境以外では、Wi-Fi接続を禁止

タブレット端末の盗難・紛失対策として、HDDやメディアを暗号化

データセキュリティ

Androidタブレット（BizPad）にはこちら

(40)

5-7 秘文 Cloud Data Protection

39 クラウドストレージ

の

ビジネス利用

を可能に

クラウドストレージ上のデータを

自動暗号化

して保護

複数のクラウド

ストレージに対応！

スマートデバイス上の同期デー

タはオフラインでも利用可能！

タブレット（Windows 8端

末やiPad）で参照可能！

安全に利用できるセキュアなクラウドストレージ

秘文 Cloud Data Protection

クラウドストレージサービス

・鍵情報の管理・ポリシー設定・ログ取得

プロジェクト共同でプレゼン資料作成

スマートデバイスで発表

お客様先

秘文CP クライアント秘文CP ビューア秘文CPサーバ（鍵管理サービス）秘文CP クライアント

box

Dropbox

SkyDrive

社内

【製品の特長】

データセキュリティ

(41)

5-8 静紋JS1 ＆ ICカード認証

40

認証用画像イメージ

指静脈認証

ICカード認証

パスワード＋α

の二要素認証で、

スマートデバイスやアプリケーション

ログイン時

の認証を強化

指静脈認証システム＆ ICカード認証管理システム

静紋JS1 ＆ ICカード認証

端末セキュリティ

(42)

5-9 スマートフォンセキュリティ統制サービス

41 端末管理

、

ウイルス対策

、

なりすまし対策

等、スマートデバイスの

業務利用に必要なセキュリティ対策を

クラウドサービス

として提供

スマートフォンの情報漏洩対策・ウイルス対策・デバイス管理

スマートフォンセキュリティ統制サービス

モバイルデバイス

認証サービス

モバイルデバイス

マネジメントサービス

アンチウィルス

サービス

【提供サービス】

端末セキュリティ

(43)

5-10 スマートデバイスのセキュリティ対策ソリューション

42 ①セキュリティルールの策定

・「セキュリティコンサルティング」

• BYODの適用等、会社のポリシーを決定し、セキュリティ対策、スマートデバイス利用ルールの策定を支援

②接続を許可するネットワークを制限

・「Aruba」

・「Palo Alto Networks PAシリーズ」

・「秘文AE SmartDevice Extension」

• 企業内のセキュア無線LANアクセスポイントを提供 • アプリケーションとユーザによるアクセス制御を行う次世代ファイアウォール • Wi-Fi制御

③社内PCの遠隔操作（端末にデータを残さない）

・「Array DesktopDirect」

• スマートデバイスにデータを置かずに安全に社内システムを利用

④スマートデバイスとクラウドデータの暗号化

・「秘文AE SmartDevice Extension」

• スマートデバイスの内部データ、外部メディアを自動暗号化 • クラウドストレージ上のデータを自動暗号化

⑤認証強化（端末、アプリ認証）

・「静紋JS1」

• 生体認証（指静脈） • ICカード認証（NFC）

・「ICカード認証」

⑥モバイルデバイス管理（MDM）

・クラウド型「スマートフォンセキュリティ統制サービス」

• リモートロック/ワイプ • ポリシーの強制 • アプリケーション管理 • ウィルス対策

・「秘文 Cloud Data Protection」

・「秘文AE SmartDevice Encryption」

(44)

5-11 新製品・新ソリューションについて

43 今回ご紹介した新製品・ソリューションの一部は、2013年8月までに

提供予定です。

安全に利用できるセキュアなクラウドストレージ

秘文 Cloud Data Protection

Windowsタブレットに必要な情報漏洩対策

秘文AE SmartDevice Extension

2013年6月26日

社外発表済

2013年4月22日

社外発表済

指静脈認証システム＆ ICカード認証管理システム

静紋JS1 ＆ ICカード認証

2013年6月24日

社外発表済

モバイルPCの盗難・紛失対策

モバイルPC 盗難・紛失対策サービス

2013年6月19日

社外発表済

(45)

【ご参考】当社のソリューション紹介ページ

44 今回ご紹介したソリューションの他にも、

様々なセキュリティニーズに

対応したスマートデバイス向けソリューション

をご提供

アクセスはこちらから

http://www.hitachi-solutions.co.jp/smartphone/

(46)

【ご参考】スマートデバイス関連のガイドライン

45 日本スマートフォンセキュリティフォーラム（ＪＳＳＥＣ）

『スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン

【第一版（BYOD基礎資料収録版）】

日本ネットワークセキュリティ協会（ＪＮＳＡ）

『スマートフォンの安全な利活用のすすめ～スマートフォン利用ガイドライン～』

http://www.jssec.org/dl/guidelines2011_v1.1.pdf

『スマートフォンネットワークセキュリティ実装ガイド』【第一版】

http://www.jssec.org/dl/NetworkSecurityGuide1.pdf

http://www.jnsa.org/result/2012/surv_smap.html

『BYODの現状と特性』～あなたの組織はどのパターンですか～

http://www.jssec.org/report/20121119_byod.html

スマートデバイスを業務で利活用するためのポイントが

ガイドライン

と

して整理されています

(47)

END

・Wi－FiはWi－Fi Allianceの登録商標です。

・iOSは、Cisco の米国およびその他の国における商標または登録商標です。・App Storeは、米国Apple Inc.の登録商標です。

・AndroidとGoogle Playは、米国Google Inc.の登録商標です。

・Windowsは、米国Microsoft Corporationの米国およびその他の国における登録商標です。・秘文、静紋、AUthentiGateは、株式会社日立ソリューションズの登録商標です。・その他記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。

株式会社日立ソリューションズ

プラットフォームプロダクト本部プロダクト拡販支援センタ

企業が実施すべきスマートデバイス利用時のセキュリティ対策