第一回のコラムでは、多くの企業がスマートフォンを活用する一方で、そのセキュリティ対策は遅れているという事実を紹介しました。特に中堅企業では人手やコストの問題から、セキュリティ対策に手がついていないという実態が浮き彫りになっています。しかし、社内のサーバーやパソコンと違い、社外へ持ち出すスマートフォンには、従来のIT機器とは違うセキュリティ上のリスクが存在します。

情報セキュリティで適切な対策を行うためには、まず『セキュリティポリシー/ガイドライン』を策定する必要があります。これについては、従業員数500名以上の企業では90%以上、従業員数100～499名の中堅企業では約75%の企業が策定しており、一定のセキュリティ対策が進んでいると言えるでしょう。しかしながら、モバイルセキュリティに話を絞ったとき『運用ルールやセキュリティ対策の徹底は不十分である』『従業員に注意を促す程度で、特にセキュリティ対策は行っていない』をあわせると、半数を超えます。
よく、コップに半分程度の水が入っているのを見て『半分も水が残っている』と思うか『半分しか残っていない』と思うかという心理テストがありますが、ことセキュリティについては後者の考えで『半分もの企業が十分なセキュリティ対策を取っていない』ことに脅威を覚えるべきです。

モバイル端末のセキュリティで、大きな問題となるのが紛失/盗難です。社内のパソコンやサーバーはよほどのことがなければ紛失することはありません。しかし、スマートフォンは容易に紛失する可能性があります。いつも手元に持っておける手軽さゆえに、常に紛失/盗難の危険に晒されているのです。では、実際に従業員がスマートフォンを紛失したらどんなことが起こりうるでしょうか。

1. 社員の名簿・連絡先の流出
2. 取引先のリスト・連絡先の流出
3. 社内サーバー・システムへのアクセスによる社内情報の流出
4. スマートフォンに記録されているビジネス上の機密の流出
5. スマートフォンを経由したウイルス・マルウエアによるサイバー攻撃

代表的なものだけでも、これだけ挙がります。もっと詳細に挙げていけばきりがありません。1.2.の社内の名簿や連絡先の流出、取引先の連絡先の流出は、企業の信用に関わる問題です。単に迷惑メールや電話が増えるだけでも、大きな信用失墜です。取引先に社員のスマートフォンの紛失による情報流出があったことが知られるだけでも、取引停止などの事態が想定できます。
3.4.5.も同様に深刻です。社内の機密情報の流出は大きなダメージとなります。仮に顧客名簿がここから流出したとなれば、社会問題にもなりかねません。どれをとっても大きなダメージになることは間違いないでしょう。

スマートフォンに適切にパスワードや生体認証などのセキュリティを講じていれば、最悪の事態は避けられるかもしれません。しかし、類推しやすいパスワードだったらどうでしょう。生体認証に対応していない機種だったら。従業員が面倒だからと生体認証を登録せずに使っていたら。これらは、明確にルールを作っていれば防ぐことができたかもしれません。

特に、パスワードは常に破られる可能性があります。そこで、スマートフォンを紛失したと分かった段階で『スマートフォンを真っ白にする』ことが効果的です。つまり、遠隔でのロック・データ消去をすることです。遠隔ロックでは、スマートフォンをどのようにしても使えなくします。データ消去では、スマートフォンの中のデータ・アプリケーションをすべて消去することで、社内のシステムへのアクセス権限も消去し、危険を排除するのです。
「もしかしたら、(失くした) スマートフォンが見つかるかも」と期待を抱くのではなく、「もう手元には戻らない。悪意ある人が手にしている可能性がある」と最悪の事態を想定して対応すべきです。モバイルセキュリティ対策を実行している企業の多くはMDM (モバイルデバイス管理) ソフトを導入し、スマートフォンの遠隔監視・遠隔ロック・遠隔データ消去が行えるようにしています。