マイク・ローゼン氏はiVerifyの最高情報セキュリティ責任者(CISO)である。
モバイルデバイスは現在、職場での必需品となっているが、その使用によりサイバー攻撃のリスクが高まる。カンタス航空は最近、第三者のコールセンターに対する電話ベースのソーシャルエンジニアリング(ビッシング)から始まったとされる侵害を確認した。この侵害により、少なくとも600万人の顧客の個人データが流出した。
同様に、ベライゾンの2024年モバイルセキュリティ指標によると、公共部門の組織の70%が過去1年間にモバイルデバイスがセキュリティインシデントに関与したと述べており、これが孤立した問題ではないことを強調している。
紛失または侵害されたモバイルデバイスが大規模なデータ漏洩につながる可能性がある。そのため、明確に定義されたモバイルデバイスセキュリティポリシーを持つことが重要だ。
個人用であれ会社支給であれ、スマートフォン、タブレット、その他のデバイスで企業データにアクセスするためのガイドラインは、強固なポリシーで概説されるべきである。堅牢なガイドラインはセキュリティ問題を防ぎ、個人データに関するGDPRや健康情報に関するHIPAAなどの重要な規制に企業が確実に準拠するのに役立つ。
堅牢なモバイルデバイスセキュリティポリシーを作成するための7つのステップ
モバイルデバイスセキュリティポリシーを作成するために使用できる7つの実行可能なステップを紹介する:
1. ポリシーの範囲を定義する
まず、モバイルセキュリティポリシーが何をカバーし、なぜカバーするのかを正確に決定することから始める。主な目標を特定する—例えば、BYOD(私物端末の業務利用)スマートフォン上のデータ保護、安全なリモートワークのサポート、または特定の規制要件の充足など。目標を設定したら、範囲を概説する:どのデバイス(スマートフォン、タブレット、ラップトップ)とオペレーティングシステム(iOS、Androidなど)が含まれるか、そして誰がルールに従わなければならないか(従業員、請負業者など)。会社支給のスマートフォンから業務に使用される個人デバイスまで、企業データを扱うすべてのモバイルデバイスが対象範囲内であることを明確にする。
2. コンプライアンスとの整合性を図る
法務チームと協力して、ポリシーが医療分野のHIPAA、EUのGDPR、その他のデータ保護規則など、関連する法律や基準を満たしていることを確認する。これにより、データの取り扱い方法が影響を受ける可能性がある—例えば、HIPAAの下で患者情報の暗号化を要求したり、GDPRの下で厳格な同意と透明性を要求したりする。特にBYODユーザーのプライバシーに対処するようにする。ITが個人デバイス上で監視できること、できないことを定義し、必要に応じて従業員の同意を得る。
3. アクセス制御を要求する
業務に使用されるすべてのデバイスには、生体認証ロックまたは明確なパスワードガイドラインに従った強力なパスコードが必要である。例えば、最小限の長さと複雑さを要求し、短時間の非アクティブ後にデバイスがロックされるように設定する。さらに良いのは、メールや企業アプリへのアクセスに多要素認証(MFA)を追加することだ。指紋やワンタイムコードなどの追加の認証ステップがあれば、パスワードが盗まれただけでは攻撃者がアクセスを得るのに十分ではなくなる。
4. デバイスのセキュリティ設定を使用する
モバイルデバイスが企業データにアクセスすることを許可する前に、最低限のセキュリティ要件を概説する。保存中のデータを保護するために、デバイス全体の暗号化が必須であるべきだ。現代のiOSおよびAndroidデバイスはこれをデフォルトでサポートしている。デバイスソフトウェアの維持も同様に重要である。モバイルデバイス管理(MDM)ツールを使用してリモートで更新をプッシュするか、ユーザーにOSの更新とパッチを迅速にインストールするよう要求する。
5. アプリとネットワークアクセスを制御する
セキュリティ基準を満たす承認済みアプリのリストを保持する。多くの組織は、安全でないアプリをブラックリストに登録する一方で、生産性とセキュリティアプリをホワイトリストに登録している。これを実施するために、可能な場合はデバイスを構成するか、MDMソリューションを使用して未承認のアプリをブロックする。安全なネットワーク使用の指示も含める。例えば、従業員はトラフィックを暗号化する承認済みの仮想プライベートネットワーク(VPN)を通じて接続しない限り、公共Wi-Fiを避けるべきである。
6. 紛失または盗難デバイスの計画を立てる
最善の予防策を講じていても、モバイルデバイスは紛失または盗難に遭う可能性がある。デバイスが紛失または侵害された場合に従業員が取るべき手順を定義する。スタッフがインシデントをITに直ちに報告するよう要求し、チームが迅速に行動できるようにする。デバイスの紛失が報告されたら、ITはデータを安全に保つためにリモートでデバイスを消去または無効化する必要がある。また、生産性の損失を防ぐためにデータバックアップ手順を維持する。
7. ポリシーを教育し実施する
すべてのスタッフがポリシーとその重要性を理解していることを確認する。多くの攻撃は人的ミスから生じるため、従業員に安全なモバイル慣行と脅威の見分け方について教育する。この研修をオンボーディングに組み込み、従業員にポリシーの確認書に署名するよう依頼する。デバイスアクセスの喪失や懲戒処分などの違反の結果を明確に示す。最後に、モバイルセキュリティに関する定期的な再教育研修をスケジュールする。
モバイルデバイスを最弱点にしないために
モバイルデバイスは仕事に不可欠だが、最近の侵害や業界データが示すように、攻撃者の実証済みの経路でもある。
これら7つのステップに従って、セキュリティの意図を実践に移そう:範囲を定義し、コンプライアンスと整合させ、アクセス制御とMFAを要求し、基本的なデバイス強化と更新を実施し、アプリとネットワーク使用を制御し、紛失や盗難に備え、従業員を教育し頻繁な再教育研修を提供する。
これを行えば、リスクを軽減し、適切な注意義務を証明し、モバイルを最弱点にすることなく、チームの生産性を維持できるだろう。
