モバイルセキュリティとは、フィーチャーフォン、スマートフォン、タブレット端末等のモバイルデバイスを使用する際、デバイス及びデバイスからアクセス可能なサーバ等に入力・格納された情報の、機密性・完全性・可用性を確保することを意味する。近年、スマートフォンを狙ったウイルスの急増(2011/05/18 日本経済新聞)等を背景に、対応の緊急性が高まっている領域である。
対策を考える際は、フィーチャーフォンと、スマートフォンやタブレット端末といった「スマートデバイス」では事情が異なるため、区別する必要がある。前者は基本的に機種ごとに仕様が異なる上、PC等に比べユーザーが任意のアプリケーションを追加するなどの自由度が低いため、ウイルス感染等はほとんど報告されておらず(IPA「コンピュータウイルス・不正アクセスの届出状況」)、比較的情報セキュリティリスクが低いと位置づけられる。ユーザー側の対策も「紛失・盗難に備えたパスワードロック」等のルールでリスク低減を図る「人的・組織的対策」が中心であった。一方、後者はネット接続や様々なアプリのインストールを前提に設計・利用されているため、ノートPCに近いリスクを想定する必要がある。リスクの例としては、ネット利用に伴うウイルス感染やアプリの安全性等が問題となるため、ITの側面からもリスクを低減する「技術的対策」も求められるというのが、スマートデバイスの特徴である。
リスクの増大を背景に、通信事業者やセキュリティベンダー等は、スマートデバイス向けに「モバイルセキュリティソリューション」を次々と提供している。これらの導入には一定の効果が期待できるが、同時に対策費用を押し上げる要因にもなる。結果的に、業務生産性の向上等のスマートデバイス利用で期待できるメリットと費用とのバランスが崩れるという問題が生じることも想定される。業務上のセキュリティ確保と利便性の両立という観点からすると、モバイルデバイスにおいてもアプリやデータをクラウド上に移管しデバイスのダム端末化(データの保存や処理機能を、そもそも端末に持たせないこと)を図る等の、抜本的な対策の検討も重要になってくる。
利便性とセキュリティの両立の方向性を検討するには、対策の導入効果を金額で算定し、財務的数値という同じ土俵で、対策費用やセキュリティ事故による想定損害金額と比較することが必要となろう。導入効果とは、スマートデバイス利用によって削減できる業務時間を人件費に換算する等の「利便性の金額化」と、対策未導入の場合に想定される損害額が、対策によってどの程度低減できるかという「損害低減の幅の金額化」という2つの側面がある。後者は、日本ネットワークセキュリティ協会やセキュリティベンダーの公開情報等から、事故別に発生頻度と事故一回あたりの損害額を仮定し、例えばモバイルクラウドの導入でどの程度それらが改善できるのか、まずは仮説ベースで算定する必要がある。
また、実際にスマートデバイスを運用する中で生じるセキュリティ事故情報を統計的に収集し、「事故実績情報を加味した現実的な想定損害額」とそれを踏まえた「対策による損害の低減幅」を自社のノウハウとして蓄積していくことも肝要となる。こうした取り組みから算定した想定損害額と対策費用の年額を合計した「費用」と、対策導入によって低減しうる損害額や、デバイスがもたらす利便性を年額で金額換算したものを合計した「効果」を比較・評価することが、利便性とのバランスが確保されたモバイルセキュリティのあり方を策定していく要諦となろう。
文・村木 良知(デロイトトーマツコンサルティング コンサルタント)
おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)
登録はこちら