前回までのコラムで、スマートフォンのセキュリティ、中でも紛失や盗難については、即座にスマートフォンをロック・データ消去できる環境を作ることが大切だと解説してきました。そのためには『紛失したと分かったらすぐに連絡する』ことも欠かせません。いくら対応できる仕組みを作っても、人間がそれを活かせなければ意味がないのです。

2018年3月に実施した『ICTシステムご活用状況に関するアンケート調査』で、セキュリティに対する理解促進に関する取り組み、つまり社員への教育についての質問を行ったところ、従業員数100～499名の中堅企業では4割弱の企業が『従業員それぞれが情報収集している』という回答結果となり、社員全員に向けた研修を実施している企業は半数にも満たないことが分かりました。これでは、すでに紹介してきたスマートフォン紛失時のリスクについて、理解されていなくても何ら不思議はありません。その理解がされていない環境で、セキュリティに関するルールを策定し、実行させようとしても、社員は「面倒なことをしなければならない」と思うだけです。スマートフォンを持って仕事をしている以上、そこにどのようなリスクがあるのかを理解していないと、どんなソフトを導入しようが、対策を講じようが、効果を発揮しません。
セキュリティ対策は仕組みやルールを作るだけではなく、適切に運用するための社員への教育が必須なのです。

今回の調査で経営層へのセキュリティ研修は、すべての従業員規模層で20%以下という結果が出ました。 経営層に十分な研修が行われない理由は『時間がない』『セキュリティ対策は社員のもの』といった意識があるためかもしれません。しかし、経営者だから、役員だからスマートフォンを使わないということはないはずです。そして、一般の社員よりもアクセス権限が大きい経営層こそ、紛失した場合のリスクは大きいのではないでしょうか。そのため一般の社員以上にセキュリティ研修を義務付けるなどの対策が必要です。

ここまでスマートフォンのセキュリティについて、紛失や盗難といったモバイルゆえのリスクを中心に解説をしてきましたが、もちろんセキュリティのポイントは他にもあります。
スマートフォンなどのモバイル端末で社外からアクセスすることを考えた場合、その通信環境そのものの安全性にも気を配らなければなりません。スマートフォンが便利だからこそ、社外からさまざまな資料を閲覧/ダウンロードしたい、経営者なら経営情報を確認したいなど、機密性が高い情報へのアクセスが求められるようになるのは自明です。また、通信速度など快適にアクセスできる環境を構築し、同時にセキュリティ要件も満たさなければなりません。そのために、リモートアクセス環境の整備は必須になってきます。他にも、ウイルスセキュリティソフトの導入も当然です。

モバイルセキュリティの徹底は、これからのビジネスにおいて必要不可欠なものです。人手・コストの面で後回しになっていたり、面倒だと思われているかもしれません。しかし、そこに潜むリスクは想像以上に大きなものだといえます。今回は紛失や盗難のリスクを中心に紹介しましたが、総合的なIT環境のセキュリティの一環として、セキュリティ要件を決め、管理していくことが大切です。