モバイルセキュリティとは、サイバー攻撃の脅威からモバイル通信端末を保護することを指します。DXやテレワークを推進するにあたり、企業はモバイルセキュリティを徹底して企業資産の損失や重要データの流出といったリスクに備えなければなりません。
本記事ではビジネスにおけるモバイルセキュリティの重要性や、ネットワーク上の脅威からモバイル通信端末を保護するための具体的な対策について解説します。モバイルセキュリティに対する理解を深め、モバイル通信端末を安全に運用しましょう。
モバイルセキュリティの重要性
モバイルセキュリティとは、モバイル通信端末をネットワーク上の脅威や紛失などのヒューマンエラーから保護することを指す言葉です。スマートフォンやタブレットが普及した現代では、企業にもモバイルセキュリティを徹底した安全な事業活動が求められています。
外部ネットワークと接続するモバイル通信端末の場合、従来の情報セキュリティでは十分な安全性が確保できません。モバイル通信端末が入り口となり、第三者が社内ネットワークに侵入してしまう事態も考えられます。
また、モバイル通信端末は紛失や盗難のリスクも高く、端末そのものが第三者によって悪用されてしまう危険性もあります。
サイバー攻撃や端末の悪用による被害は、その規模によって事業継続が危ぶまれるほどの損害を被る可能性もあります。事業活動を継続させるためにも、企業経営ではモバイルセキュリティに対する意識を高く持つことが重要です。
モバイルセキュリティの脅威
モバイルセキュリティの強化にあたっては、モバイル通信端末が晒される脅威を把握することが大切です。デスクトップPCや社内サーバーでは意識されていなかったモバイル通信端末特有の脅威も押さえておきましょう。
フィッシングサイトへの誘導
フィッシングとは、官公庁や金融機関、有名企業など実在の組織を装った偽物のWebサイトに誘導し、入力フォームから氏名や電話番号、クレジットカード番号、口座番号などの重要な個人情報を抜き取る行為です。一般的にはフィッシング詐欺とも呼ばれています。
緊急性を装って危険なURLへのアクセスを強要するような電子メールを送り付ける行為も頻発しています。
マルウェアへの感染
マルウェアとは、PCやスマートフォンなどの電子端末に入り込んでユーザーに不利益をもたらす、悪意のあるソフトウェアやプログラムの総称です。
代表的なマルウェアとしては、電子端末に寄生してプログラムを書き換えるウィルスや、知らぬ間にインストールされて情報を収集するスパイウェアが挙げられます。害のないファイルやアプリに偽装して端末に入り込む「トロイの木馬」もマルウェアの一種です。
また、ここ数年ではランサムウェアによる被害も拡大しています。ランサムウェアとは、端末内のシステムやファイルを暗号化して利用できない状態にしてしまうマルウェアです。ランサムウェアに感染すると暗号の復号と引き換えに金銭を要求する脅迫文が表示されます。
自宅回線やWi-Fiを経由したサイバー攻撃
テレワークやリモートワークの普及に伴い、企業が支給したモバイル通信端末を自宅回線やWi-Fi回線に接続するケースも増えています。これらの回線は企業の管理外であるため、必ずしも自社の情報セキュリティポリシーに合致するとは限りません。
公共施設や飲食店などで提供されているフリーWi-Fiへの接続には特に注意しなければなりません。フリーWi-Fiは通信が暗号化されていないケースもあり、そのような回線は第三者による端末の覗き見も容易だからです。
端末の紛失・盗難
モバイル通信端末はどこへでも持ち運びができることが強みですが、一方で端末の紛失や盗難のリスクが高いことも忘れてはなりません。社内ネットワークにアクセス可能な端末が悪用された結果、情報漏えいにつながってしまったケースもあります。モバイルセキュリティではサイバー攻撃だけではなく、ヒューマンエラーへの対策も必要です。
モバイルセキュリティの対策方法
モバイルセキュリティを強化するためには、モバイル通信端末の運用に対応したセキュリティ体制を整えることが大切です。その上で安全にインターネットを利用するための環境づくりや、社員のセキュリティ意識の向上を図っていきましょう。
セキュリティ体制の見直し
モバイルセキュリティ強化に向けて初めに取り組むべきことがセキュリティ体制の見直しです。業務のDX化やテレワークの普及が急速に進んだことにより、社内におけるインターネットの利用形態やシステム構成も多様化しています。そのため情報セキュリティポリシーも現状に合わせた内容にアップデートしなければなりません。
なお、総務省は「テレワークセキュリティガイドライン」によって企業のモバイルセキュリティの基本方針を示しています。ガイドラインによると、企業が情報資産を守るために必要とされるのは「ルール」「人」「技術」のバランスが取れた対策です[注2]。
[注2]総務省「テレワークセキュリティガイドライン第5版(令和3年5月)」
エンドポイントセキュリティの強化
モバイルセキュリティでは従来の情報セキュリティ以上に「エンドポイントセキュリティ」が重視されます。エンドポイントとはネットワークに接続する末端の機器、つまりPCやスマートフォンなどのモバイル通信端末です。エンドポイントの保護が脆弱である程、サイバー攻撃のリスクも高まると考えられます。
近年では各社員にスマートフォンを支給するなど、保護すべきエンドポイントの数がはるかに増えました。また、テレワークの普及で社外から社内ネットワークへアクセスする機会も増えたことから、エンドポイントセキュリティの重要性が高まっています。
エンドポイントセキュリティの目的は各端末やそこに保存されている情報をサイバー攻撃から保護することです。具体的な対策としては、HDD暗号化やマルウェア検知、ID管理、個人端末からのアクセス検知などが挙げられます。
安全なインターネット環境の構築
従来の情報セキュリティと同様に、モバイルセキュリティを強化するためには、セキュリティソフトを活用した安全なインターネット環境の構築が欠かせません。セキュリティソフトにはさまざまな機能が付帯していますが、モバイルセキュリティで特に重視したい機能として「メールセキュリティ」と「セキュア・ウェブ・ゲートウェイ(SWG)」が挙げられます。
メールセキュリティは、電子メールに仕込まれたマルウェアやランサムウェアを検知し、第三者によるサイバー攻撃から端末を保護する機能です。また、送信する電子メールを高度に暗号化し、外部への情報流出を防止する機能も備わっています。
セキュア・ウェブ・ゲートウェイ(SWG)は、企業が管理する全端末のインターネットアクセスにフィルターを設け、マルウェアの検知や有害サイトのブロックなどを行う機能です。水道水における浄水器の役割と考えるとイメージしやすいでしょう。SWGを利用することで、外部ネットワークへのアクセスも安全に実行できます。
社員教育によるセキュリティリテラシー向上
モバイルセキュリティの強化にあたってはモバイル通信端末を使用する社員が高い意識を持つことが不可欠です。セキュリティリテラシーの基本は「不審なメールは開封しない」「不審なURLはクリックしない」「特定されやすいID・パスワードを避ける」の3つです。パスワードは定期的な変更をルール化することで、セキュリティレベルの引き上げにつながります。
また、社内情報の持ち出しや共有のルールを明確にし、社員へ周知させることも大切です。社員に支給するノートPCやスマートフォンの管理についてもルールを設けましょう。
まとめ
ビジネスにおけるモバイル通信端末の活用範囲が拡大されたことにより、モバイルセキュリティの強化は企業が優先して取り組むべき課題となりました。サイバー攻撃の脅威に備え、従来のセキュリティ体制の見直しや安全なインターネット環境の整備を進めていきましょう。
伊藤忠テクノソリューションズが提供する「Lookout(ルックアウト)」には、法人向けスマートフォン用のセキュリティ機能が搭載されています。フィッシングサイトへのアクセス防止やマルウェアの検知、不正ネットワークの検知など、ビジネスで安全にスマートフォンを使用するための機能が備わっているため、自社のモバイルセキュリティを見直したい企業様におすすめです。