モバイルデバイスには,多くの場合,個人データと企業データの両方が保存されている。このようなデバイスがインターネット„常時接続“状態でクラウドサービスを利用する場合,セキュリティ違反のリスクが高くなる,とIBMのITセキュリティアーキテクトであるJeff Crume氏は言う。ドイツのミュンヘンで開催されたOOP 2015カンファレンスで氏は,モバイルデバイスのセキュリティについて講演した。
InfoQは,モバイルのセキュリティ面での脅威とセキュリティポリシ遵守の促進に関して,氏にインタビューをした。セキュリティを確保し,企業全体にセキュリティを展開しながら,効率的かつ効果的なコラボレーションにモバイルデバイスを活用するには,どうすればよいのだろうか。
InfoQ: モバイルセキュリティの脅威とはどのようなものか,概要を説明して頂けますか? 最も重要だと思われるのは,どのような脅威なのでしょう?
Crume: モバイルのセキュリティは個人においても,プロフェッショナルレベルにおいても重要性を増しているトピックのひとつです。モバイルデバイスはどこに行くにも持ち運ぶものであると同時に,企業の機密データから個人的な通話や金融情報に至るまで,あらゆる情報が入っています。
このように私たちは,ポケットや財布の中に,デジタルライフを持ち運ぶようになりました。そしてモバイルデバイスの保護は,ラップトップやサーバといった,もっと大きなITデバイスに比較すると,はるかに不足しているのです。事実,3回目となったIBMの最高情報セキュリティ責任者調査によると,従来型のセキュリティへの取り組みでは先行している企業のうち,効果的なモバイルデバイス管理戦略を持っているものは,わずか45パーセントに過ぎません。
悪い連中はこれを知って,ますます頻繁に,セキュリティコントロールの不足を利用しようとします。例えばマルウェアは,娯楽目的(ゲームや,ソーシャルメディアの類いです)でダウンロードした中途半端なアプリを通じて拡散して,企業秘密を盗み出したり,あるいはID詐欺を行うのに十分な情報を提供したりします。これらのデバイスは,非常に小さく,ポータブルであるという事実によって愛されていますが,それは失ったり,盗まれたりしやすい理由でもあるのです。
InfoQ: すべてのセキュリティリスクを遠ざけるような技術を探すべきではない,と話されていましたが,それについて説明して頂けますか?
Crume: 攻撃のリスクを制限できるセキュリティ技術は,いくつもあります。ですが残念ながら,リスクをすべて排除できるものはありませんし,今後も現れることはないでしょう。どのような運用システムでも破られる可能性はあります。モバイルデバイスもこの点に違いはありません。
ただしこれは,そのようなシステムを使ってはいけないという意味ではありません。諦めてすべてのコンピュータのプラグを抜くべきだ,と言っているのではないのです。私たちは賢く -- 悪い連中よりも賢く -- なくてはなりません。何がリスクなのか,それを軽減するには何ができるのか,ということを理解する必要があるのです。できることはたくさんあります。どれにも行うべき理由はありますが,私たちは慎重になって,脅威に対して目を大きく見開くべきです。
先ほど述べたセキュリティ調査によると,セキュリティリーダの80%以上は,外部の脅威によってもたらされる課題が増加傾向にある,と考えています。その一方では,同じリーダの90%以上が,そのような脅威が自分たちの組織に重大な影響を与えていることを強く認識している,さらにその76%は,影響の割合が過去3年間で大きく増加したと考えている,というよいニュースもあります。今こそが,ビジネス決定の最前線にセキュリティ技術を据えるべき時なのです。
InfoQ: 企業が従業員に対して,セキュリティポリシをより遵守させるためには,何ができるでしょうか?
Crume: 教育が重要だと思います。セキュリティに関する調査では,セキュリティ上の問題の95%は,実際にはヒューマンエラーに原因があるとされています。ですから,エンドユーザに対する教育が,多くの場合,最良の防止策になります。ただし,教育というのは,ユーザにたくさんのルールを覚え込ませるだけではありません。セキュリティの原則を教えることで,予測しない脅威が新たに起きた時,それが非常に望ましくないものであることを認識した上で,被害を最小限に食い止めるべく防御的な行動を取る,という意味なのです。方程式の第2の部分は,セキュリティポリシを徹底するために,モバイルデバイス管理やセキュアなコンテナ化ツールを使用することです。これができれば,脅威の影響をひとつのアプリ内に制限して,他への影響を防止することが可能になります。
InfoQ: 分散型チームやリモートワーク,コラボレーションツール,アジャイルチームといったように,従業員が協力する方法やコミュニケーションのあり方も変わってきています。これらはモバイルセキュリティに,どのように影響するでしょうか?
Crume: 成功する企業に必須なコンポーネントとしての,モバイルデバイスの重要性をさらに高めるだけだと思います。その結果,そのようなデバイスが,適切なセキュリティを備えることの重要性はさらに増すでしょう。モバイルプラットフォームへの依存性が増すほど,より機密性の高い情報を保持することになりますから,情報の保護はますます重要になります。
InfoQ: セキュリティを確保しつつ,効率的かつ効果的にコラボレートする手段としてモバイルデバイスを使うために,どのようなことができるでしょう?
Crume: 生産性や利用性を考えずに価値のあるものを保護すれば,セキュリティとして最善であることは明らかです。残念なことですが,セキュリティのプロフェッショナルたちは,セキュリティ改善に熱心なあまり,人間的な要素を考慮せず,エンドユーザが効果的に行うには難し過ぎるセキュリティを設定して,結局は実行されないことが多すぎます。
モバイルデバイスの片方の側にいるのは,マシンではなく人であることを,私たちはいつも意識する必要があります。つまりセキュリティ対策は,可能な限り目立たず,自然なものでなくてはならないということです。それが不可能な場合もありますが,常に目標としなくてはなりません。
InfoQ: 最後に,全社レベルのモバイルセキュリティの構築と展開を望んでいる企業に対して,何かアドバイスはありますか?
Crume: セキュリティを担当するプロフェッショナルは,モバイルのような新しい技術に内在するさまざまな脅威に圧倒されるあまり,コントロールを維持しようとして,高圧的なセキュリティ対策を行おうとすることが非常に多いのです。
場合によっては,モバイルデバイスの使用を禁止しようとすることさえあります。しかしながら,現実のシナリオは私たちに,厳格なアプローチが長期的に失敗する運命にあることを教えてくれます。結局それは,裏に隠れた行動を促すだけだからです。"no"ではなく"how"を語ることが,企業としては大切です。このような関係を保ちながら,自分たちの専門知識を欲しているユーザベースに提供することで,抑圧するのではなく,イノベーションを起こすことができるのです。