2016.08.26(金)

十分な規制がないまま活用が広がる「BYOD」、ポイントは情報リテラシー(デジタルアーツ)

脆弱性と脅威 脅威動向

デジタルアーツ株式会社は10月7日、同社が実施した「デバイス多様化による会社員のワークスタイル変化実態調査」の記者発表会を開催した。発表に先立ち、同社の代表取締役社長である道具登志夫氏は、「スマートフォンやクラウドサービスが急速に普及しており、一般的な企業だけなく官公庁でも個人用デバイスの業務利用(BYOD)が浸透しつつある。しかし現状は、『見て見ぬ振りをしている』『特に問題は起きていない』として、厳格なルールを定めている企業は少ない」という。

今回の実態調査は、同社がメーカーとしてBYODの実態を把握することを目的に実施した初のアンケートであり、「今後、企業などがBYODのルールなどを検討する際の元データとして活用してもらえれば」と道具氏は述べた。

●1/4の回答者が「転職の際に会社のデータを持ち出す」

続いて、同社取締役CTO 兼 研究開発部長である高橋則行氏が、「デバイスの多様化における就業者のワークスタイルの変化」として、調査結果について紹介した。本調査は、「スマートフォン」「タブレット」「ノートPC」のいずれかを普段利用している全国の20歳以上の就業者(男女)を対象に、8月28日から8月31日までインターネット調査によって実施したもの。有効回答数は1,648サンプルで、都市部824サンプル、郊外824サンプルとなっている。

調査結果によると、何らかの個人用端末を所有しているのは全体の97.1%で、2台以上所有している人は全体の50.1%を占めた。端末の種類は、「ノートPC」が73.4%、「スマートフォン(Android)」が35.9%、「デスクトップPC」が31.4%となっている。また、個人端末の仕事利用を「許可されている」のは全体の35.6%で、このうち60.3%が「規制は特になく、自由に使っている」と回答した。職業別では、「禁止されていて使っていない」と回答したのは公務員全体平均で49.1%なのに対し、一般企業の社員の全体平均で28.3%となった。

一方、何らかの携帯端末を会社から支給されていると回答した割合は全体の27.5%で、支給されている端末の種類は、「ノートPC」が72.2%と突出しており、スマートフォンは「Android」が7.9%、「iPhone」が4.6%と低い数値となった。会社支給携帯端末のプライベート利用が「許可されている」のは全体の38.7%で、このうち63%が「規制は特にない」と回答した。職業別では、公務員全体平均の68.3%が「禁止されている」のに対し、一般企業の社員の全体平均では39.7%となった。公務員は一般企業と比較して、総じて規制されている。

勤務先以外で仕事をする場所は「自宅」が74.1%と高い割合を占め、以下「取引先」27.6%、「ホテル・旅館」17.7%と続いた。そのシーンは「緊急の仕事が発生したとき」43.6%、「業務時間内で終わらない時」36.8%、「移動中に気になった時」26.3%となった。地域別では、郊外では「緊急の仕事が発生した時」が48.6%と高く、都市部では「移動中に気になった時」が31.4%と高かった。勤務先以外で仕事をする際に、セキュリティへの不安を感じる人は全体の59%。職業別に見ると、公務員全体の平均では74.4%なのに対し、一般企業の社員全体の平均では56.4%と意識の差がみられた。

ファイル共有ツール(クラウドストレージ)を使っているのは全体の30.8%で、このうち仕事で利用しているのは38.3%。使用理由は「自社の人に対して資料やデータを送る時」が38.1%、「自分が自宅や社外で仕事をする時」が36.5%となった。ファイル共有ツール利用時にファイルのセキュリティが気になると回答したのは、全体の62.3%とやや高い結果となっている。

データの持ち出し経験と罪悪感についての質問では、データファイルの持ち出し経験がある人は全体の22%で。その内訳は、「他部署への異動の際」が49.7%、「転職の際」が26.2%、「転職も異動もないがある」14.4%と回答した。1/4以上の人が転職の際にデータを持ち出している。持ち出しの方法は「USBメモリに保存」74.6%、「会社のメールに添付して自分宛に送信」19.6%、「CD-Rに保存」18.8%となった。なお、データを自分用に持ち出すことに罪悪感がないと回答した人は全体の34%を占めた。

●スマートフォンは携帯電話が進化したものではない

続いて、モバイル研究家であり青森公立大学経営経済学部の准教授である木暮祐一氏が登壇、「スマホの企業活用、展望と課題」としてセッションを行った。木暮氏は携帯電話の黎明期から端末をウォッチしているが、1997年にSMSサービスが開始されたことで、それまで「電話機」だった携帯電話が「情報機器」になった。さらに1999年には「iモード」サービスが開始され、「インターネット端末」へと進化した。

2000年からは、カメラの搭載や3G回線の採用、ワンセグなどの機能強化が進み、大きく変化したのは2008年の「iPhone 3G」の登場であるとした。この頃から「スマートフォン」という言葉が市民権を得て、個人がコンピュータを持ち歩く時代になった。ただし、ここで注意しなければならないのは、「スマートフォンは携帯電話が進化したものではない」ということだと木暮氏は強調した。スマートフォンはPCの進化形であるため、当然そこにはPCと同様のセキュリティ対策が必要となる。スマートフォンユーザのリテラシーが向上しないのは、いまだに「携帯電話の進化形」と思っているためであるとした。

また木暮氏は、企業活動におけるスマートフォン活用は一段と加速するが、それはBYODによって実現されると述べた。たとえばヘルスケア業界では、通信機能を持つ健康機器から個人の健康情報をスマートフォン経由で収集し、クラウドや検査機関に伝送されて健康管理などに活用している。また、米FDAでは、生体情報収集用のアプリやスマートフォン周辺機器の「医療機器認定」も始まっている。さらに、収集した医療情報や急患の生体情報などを外部の医師などの端末に伝送し、治療方針の指示を仰ぐといった活用もあり、病院や大学などで実用化されたケースもあるという。

ヘルスケア・医療分野でスマートフォンがBYODにより活用されているケースは多く、その理由として「使い慣れている端末だから」「複数の機器を持ち歩きたくない」などがあると木暮氏はいう。実際に個人所有端末の方が仕事の効率が良いという結果も多数報告されている。その反面、セキュリティ対策はパスワードロックにとどまっているのが現状だ。

なお、スマートフォンの動向として、NTTドコモがiPhoneの取り扱いを開始したことを挙げた。これは特に、地方においてNTTドコモは非常に強く、また法人にも強いことから、地方でのiPhone普及率が急激に上昇する可能性を指摘した。NTTドコモがiPadも扱うことになれば、地方のICT活用が一気に進む可能性もあるとした。

さらに木暮氏は大学で感じていることとして、「スマホネイティブ世代」が社会に巣立つことについて述べた。特に現在の大学生は1年生と4年生でITの活用がまったく異なるという。4年生は「ガラケーで電話やメール」が主流だが、1年生は「スマホでLINE」が主流となっており、双方のコミュニケーションが円滑に行かないという。

一方で、スマートフォンは使いこなしているが危険な使い方も散見される。最近では「バカッター」が世間を騒がせているが、こういった情報リテラシーが十分でない人が社会に出てくることになるため、適切な教育が必要であるとした。しかし現状では教育業界に期待することはできず、企業側で対策が必要であるとしてセッションを締めくくった。

●システム的には「Webの保護」、教育は「あらゆる場面」で必要

最後に、「ますます多様化する端末と一層複雑化するWebアプリケーション等のコンテンツにおいて、企業としての対策はどうあるべきか」をテーマに、高橋氏と木暮氏によるクロストークが行われた。法人におけるモバイルデバイス活用のされ方について木暮氏は、「日本は電話会社がすべてのサービスを提供しており、キャリアの力が強い。そのためスマートフォンが電話の延長となっている。世界的にはスマートフォンのOSがさまざまな機器に搭載されており、多様化が進んでいる。日本でももっと業務に特化した機器が出てきてもいい」とコメントした。

また、企業でのモバイルデバイス活用において、アプリやコンテンツを上手に使うためのセキュリティについて高橋氏は「活用することが企業にとってメリットになり、サービスの質にも有効となる。一方で調査結果から、6割の人がセキュリティに対して何をすればいいか分からないと回答している。不安を持ちながら使っている。実際、当社への相談件数も去年の10倍に増加している。時代の流れが速いため、情報活用についてのルール作りが急務であるが、まずは利用実態の把握が重要で、それをスタート地点として対策を打っていく必要がある」とコメントした。

スマートフォンにおける脅威について、高橋氏は「セキュリティの担保は教育面でもシステム面でも必要。特にAndroidは攻撃されやすい特性があり、ウイルスが偽アプリとして数多く存在している。これらがセンシティブな情報と隣り合わせになっていることを認識すべき」とした。また木暮氏は、「一番気にしているのはBYODの活用。脅威にさらされていることを前提に考えないといけない。企業はコストの問題から個人端末を使わせているが、外部へのメールの転送やクラウドストレージの利用などは情報漏えいの危険性もある。まずは利用状況を把握して、それから適切なセキュリティ対策を行うべき」とした。

木暮氏のコメントを受け、高橋氏は「最近、シャドーITという言葉をよく聞くようになったが、これまで企業はモノ(PC)を守っていればよかった。しかし現在はWebアプリケーションが狙われている。攻撃者はブラウザ経由でさまざまな悪事を働くことができる」として、そこで重要なのが「可視化」「対策」「教育」であるとした。また木暮氏は一番怖いものとして「紛失」を挙げた。「紛失・盗難対策はメーカーやキャリアが対策を提供しているが、そのほとんどは事前に設定が必要となる。初歩的な対策に画面ロックがあるが、日本人はほとんど使わない。iPhone 5sの指紋認証は、画面ロック普及のきっかけになるかも知れない」と述べた。

今後、気をつけるべきポイントとしては、「BYODにおいて喫緊の問題は、パスワードの管理。BYODでは、個人のパスワードが漏れてしまうと企業の情報まで漏れてしまい、企業全体が危機にさらされてしまう。企業が安全に成長していくためには『見える化』が重要となる。それによってWebサービスへの攻撃を可視化し、Webを守っていくことが必要」であるとした。

木暮氏は「教育者の立場として、進歩が非常に早い世界であるため使いこなすことが大事。そのための教育体制の構築が重要。大学での教育も必要だし、企業の入口での教育も必須となる。もちろん、高齢者や子供への教育も視野に入れなければならない。国民全体が情報ツールを使いこなすことができれば、日本の国力も上がるのではないか」と述べた。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. ジャパンネット銀行および福岡銀行を騙るメールに注意、本文には「貴様」(フィッシング対策協議会)

    ジャパンネット銀行および福岡銀行を騙るメールに注意、本文には「貴様」(フィッシング対策協議会)

  2. 大手企業名を騙ったヤミ金融業者サイトを初めて検知、手法模索の結果か(BBソフトサービス)

    大手企業名を騙ったヤミ金融業者サイトを初めて検知、手法模索の結果か(BBソフトサービス)

  3. ヘルプデスク向けチケット管理アプリケーションに複数の脆弱性(JVN)

    ヘルプデスク向けチケット管理アプリケーションに複数の脆弱性(JVN)

  4. Drupal の RESTWS モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  5. 違和感のないサイバー攻撃メールにするため使われる単語(IPA)

  6. 「サイボウズ ガルーン」に複数の脆弱性、アップデートを呼びかけ(JVN)

  7. 「シンプルチャット」にXSSの脆弱性、アップデートを呼びかけ(JVN)

  8. CMS「Geeklog IVYWE版」にXSSの脆弱性、パッチ適用を呼びかけ(JVN)

  9. マルウェアもインフラも一度きり、極めて高度な犯罪グループを発見(カスペルスキー)

  10. 勝手にGoogle Playアプリを購入し、インストールするトロイの木馬を確認(Dr.WEB)

  11. 複数の「D-Link」ルータ製品に重大な脆弱性、アップデートを呼びかけ(JVN)

  12. 非公式ファンメイドゲーム「Pokemon Uranium」が公開停止、再アップロード先のダウンロードリンクの安全性は保証できず

  13. 政府が「ポケモンGO」に関する注意喚起を発表、9つの注意点を記載(NISC)

  14. 複数のWebブラウザに機微な情報が漏えいする脆弱性(JVN)

  15. 脆弱性の悪用でWebサイトを攻撃の踏み台に…、減らない現状に注意を呼びかけ(JPCERT/CC)

  16. Vプリカを騙るメールに注意喚起、本文に再び“流失”の表記(フィッシング対策協議会)

  17. ボット化したIoT機器が感染拡大を目的にTelnet探索を行っている可能性(警察庁)

  18. Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)

  19. 「UltraVNC repeater」に、任意のホストのポートに接続させられる脆弱性(JVN)

  20. Apache Commons FileUpload のマルチパートリクエストの処理に起因する DoS の脆弱性(Scan Tech Report)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★9月15日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×