2016.09.29(木)

十分な規制がないまま活用が広がる「BYOD」、ポイントは情報リテラシー(デジタルアーツ)

脆弱性と脅威 脅威動向

デジタルアーツ株式会社は10月7日、同社が実施した「デバイス多様化による会社員のワークスタイル変化実態調査」の記者発表会を開催した。発表に先立ち、同社の代表取締役社長である道具登志夫氏は、「スマートフォンやクラウドサービスが急速に普及しており、一般的な企業だけなく官公庁でも個人用デバイスの業務利用(BYOD)が浸透しつつある。しかし現状は、『見て見ぬ振りをしている』『特に問題は起きていない』として、厳格なルールを定めている企業は少ない」という。

今回の実態調査は、同社がメーカーとしてBYODの実態を把握することを目的に実施した初のアンケートであり、「今後、企業などがBYODのルールなどを検討する際の元データとして活用してもらえれば」と道具氏は述べた。

●1/4の回答者が「転職の際に会社のデータを持ち出す」

続いて、同社取締役CTO 兼 研究開発部長である高橋則行氏が、「デバイスの多様化における就業者のワークスタイルの変化」として、調査結果について紹介した。本調査は、「スマートフォン」「タブレット」「ノートPC」のいずれかを普段利用している全国の20歳以上の就業者(男女)を対象に、8月28日から8月31日までインターネット調査によって実施したもの。有効回答数は1,648サンプルで、都市部824サンプル、郊外824サンプルとなっている。

調査結果によると、何らかの個人用端末を所有しているのは全体の97.1%で、2台以上所有している人は全体の50.1%を占めた。端末の種類は、「ノートPC」が73.4%、「スマートフォン(Android)」が35.9%、「デスクトップPC」が31.4%となっている。また、個人端末の仕事利用を「許可されている」のは全体の35.6%で、このうち60.3%が「規制は特になく、自由に使っている」と回答した。職業別では、「禁止されていて使っていない」と回答したのは公務員全体平均で49.1%なのに対し、一般企業の社員の全体平均で28.3%となった。

一方、何らかの携帯端末を会社から支給されていると回答した割合は全体の27.5%で、支給されている端末の種類は、「ノートPC」が72.2%と突出しており、スマートフォンは「Android」が7.9%、「iPhone」が4.6%と低い数値となった。会社支給携帯端末のプライベート利用が「許可されている」のは全体の38.7%で、このうち63%が「規制は特にない」と回答した。職業別では、公務員全体平均の68.3%が「禁止されている」のに対し、一般企業の社員の全体平均では39.7%となった。公務員は一般企業と比較して、総じて規制されている。

勤務先以外で仕事をする場所は「自宅」が74.1%と高い割合を占め、以下「取引先」27.6%、「ホテル・旅館」17.7%と続いた。そのシーンは「緊急の仕事が発生したとき」43.6%、「業務時間内で終わらない時」36.8%、「移動中に気になった時」26.3%となった。地域別では、郊外では「緊急の仕事が発生した時」が48.6%と高く、都市部では「移動中に気になった時」が31.4%と高かった。勤務先以外で仕事をする際に、セキュリティへの不安を感じる人は全体の59%。職業別に見ると、公務員全体の平均では74.4%なのに対し、一般企業の社員全体の平均では56.4%と意識の差がみられた。

ファイル共有ツール(クラウドストレージ)を使っているのは全体の30.8%で、このうち仕事で利用しているのは38.3%。使用理由は「自社の人に対して資料やデータを送る時」が38.1%、「自分が自宅や社外で仕事をする時」が36.5%となった。ファイル共有ツール利用時にファイルのセキュリティが気になると回答したのは、全体の62.3%とやや高い結果となっている。

データの持ち出し経験と罪悪感についての質問では、データファイルの持ち出し経験がある人は全体の22%で。その内訳は、「他部署への異動の際」が49.7%、「転職の際」が26.2%、「転職も異動もないがある」14.4%と回答した。1/4以上の人が転職の際にデータを持ち出している。持ち出しの方法は「USBメモリに保存」74.6%、「会社のメールに添付して自分宛に送信」19.6%、「CD-Rに保存」18.8%となった。なお、データを自分用に持ち出すことに罪悪感がないと回答した人は全体の34%を占めた。

●スマートフォンは携帯電話が進化したものではない

続いて、モバイル研究家であり青森公立大学経営経済学部の准教授である木暮祐一氏が登壇、「スマホの企業活用、展望と課題」としてセッションを行った。木暮氏は携帯電話の黎明期から端末をウォッチしているが、1997年にSMSサービスが開始されたことで、それまで「電話機」だった携帯電話が「情報機器」になった。さらに1999年には「iモード」サービスが開始され、「インターネット端末」へと進化した。

2000年からは、カメラの搭載や3G回線の採用、ワンセグなどの機能強化が進み、大きく変化したのは2008年の「iPhone 3G」の登場であるとした。この頃から「スマートフォン」という言葉が市民権を得て、個人がコンピュータを持ち歩く時代になった。ただし、ここで注意しなければならないのは、「スマートフォンは携帯電話が進化したものではない」ということだと木暮氏は強調した。スマートフォンはPCの進化形であるため、当然そこにはPCと同様のセキュリティ対策が必要となる。スマートフォンユーザのリテラシーが向上しないのは、いまだに「携帯電話の進化形」と思っているためであるとした。

また木暮氏は、企業活動におけるスマートフォン活用は一段と加速するが、それはBYODによって実現されると述べた。たとえばヘルスケア業界では、通信機能を持つ健康機器から個人の健康情報をスマートフォン経由で収集し、クラウドや検査機関に伝送されて健康管理などに活用している。また、米FDAでは、生体情報収集用のアプリやスマートフォン周辺機器の「医療機器認定」も始まっている。さらに、収集した医療情報や急患の生体情報などを外部の医師などの端末に伝送し、治療方針の指示を仰ぐといった活用もあり、病院や大学などで実用化されたケースもあるという。

ヘルスケア・医療分野でスマートフォンがBYODにより活用されているケースは多く、その理由として「使い慣れている端末だから」「複数の機器を持ち歩きたくない」などがあると木暮氏はいう。実際に個人所有端末の方が仕事の効率が良いという結果も多数報告されている。その反面、セキュリティ対策はパスワードロックにとどまっているのが現状だ。

なお、スマートフォンの動向として、NTTドコモがiPhoneの取り扱いを開始したことを挙げた。これは特に、地方においてNTTドコモは非常に強く、また法人にも強いことから、地方でのiPhone普及率が急激に上昇する可能性を指摘した。NTTドコモがiPadも扱うことになれば、地方のICT活用が一気に進む可能性もあるとした。

さらに木暮氏は大学で感じていることとして、「スマホネイティブ世代」が社会に巣立つことについて述べた。特に現在の大学生は1年生と4年生でITの活用がまったく異なるという。4年生は「ガラケーで電話やメール」が主流だが、1年生は「スマホでLINE」が主流となっており、双方のコミュニケーションが円滑に行かないという。

一方で、スマートフォンは使いこなしているが危険な使い方も散見される。最近では「バカッター」が世間を騒がせているが、こういった情報リテラシーが十分でない人が社会に出てくることになるため、適切な教育が必要であるとした。しかし現状では教育業界に期待することはできず、企業側で対策が必要であるとしてセッションを締めくくった。

●システム的には「Webの保護」、教育は「あらゆる場面」で必要

最後に、「ますます多様化する端末と一層複雑化するWebアプリケーション等のコンテンツにおいて、企業としての対策はどうあるべきか」をテーマに、高橋氏と木暮氏によるクロストークが行われた。法人におけるモバイルデバイス活用のされ方について木暮氏は、「日本は電話会社がすべてのサービスを提供しており、キャリアの力が強い。そのためスマートフォンが電話の延長となっている。世界的にはスマートフォンのOSがさまざまな機器に搭載されており、多様化が進んでいる。日本でももっと業務に特化した機器が出てきてもいい」とコメントした。

また、企業でのモバイルデバイス活用において、アプリやコンテンツを上手に使うためのセキュリティについて高橋氏は「活用することが企業にとってメリットになり、サービスの質にも有効となる。一方で調査結果から、6割の人がセキュリティに対して何をすればいいか分からないと回答している。不安を持ちながら使っている。実際、当社への相談件数も去年の10倍に増加している。時代の流れが速いため、情報活用についてのルール作りが急務であるが、まずは利用実態の把握が重要で、それをスタート地点として対策を打っていく必要がある」とコメントした。

スマートフォンにおける脅威について、高橋氏は「セキュリティの担保は教育面でもシステム面でも必要。特にAndroidは攻撃されやすい特性があり、ウイルスが偽アプリとして数多く存在している。これらがセンシティブな情報と隣り合わせになっていることを認識すべき」とした。また木暮氏は、「一番気にしているのはBYODの活用。脅威にさらされていることを前提に考えないといけない。企業はコストの問題から個人端末を使わせているが、外部へのメールの転送やクラウドストレージの利用などは情報漏えいの危険性もある。まずは利用状況を把握して、それから適切なセキュリティ対策を行うべき」とした。

木暮氏のコメントを受け、高橋氏は「最近、シャドーITという言葉をよく聞くようになったが、これまで企業はモノ(PC)を守っていればよかった。しかし現在はWebアプリケーションが狙われている。攻撃者はブラウザ経由でさまざまな悪事を働くことができる」として、そこで重要なのが「可視化」「対策」「教育」であるとした。また木暮氏は一番怖いものとして「紛失」を挙げた。「紛失・盗難対策はメーカーやキャリアが対策を提供しているが、そのほとんどは事前に設定が必要となる。初歩的な対策に画面ロックがあるが、日本人はほとんど使わない。iPhone 5sの指紋認証は、画面ロック普及のきっかけになるかも知れない」と述べた。

今後、気をつけるべきポイントとしては、「BYODにおいて喫緊の問題は、パスワードの管理。BYODでは、個人のパスワードが漏れてしまうと企業の情報まで漏れてしまい、企業全体が危機にさらされてしまう。企業が安全に成長していくためには『見える化』が重要となる。それによってWebサービスへの攻撃を可視化し、Webを守っていくことが必要」であるとした。

木暮氏は「教育者の立場として、進歩が非常に早い世界であるため使いこなすことが大事。そのための教育体制の構築が重要。大学での教育も必要だし、企業の入口での教育も必須となる。もちろん、高齢者や子供への教育も視野に入れなければならない。国民全体が情報ツールを使いこなすことができれば、日本の国力も上がるのではないか」と述べた。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. あるランサムウェアの開発者と配布者、半年で約94億円を稼ぎ出す(マカフィー)

    あるランサムウェアの開発者と配布者、半年で約94億円を稼ぎ出す(マカフィー)

  2. IoTデバイスの乗っ取りが急増、「root」「admin」の組み合わせは変更を(シマンテック)

    IoTデバイスの乗っ取りが急増、「root」「admin」の組み合わせは変更を(シマンテック)

  3. 複数回のDDoS攻撃により「オーバーウォッチ」のサーバー接続が不安定に(Blizzard Entertainment)

    複数回のDDoS攻撃により「オーバーウォッチ」のサーバー接続が不安定に(Blizzard Entertainment)

  4. Webサイトの脆弱性検査に有効な5種の無償ツールを紹介、活用例も提案(IPA)

  5. 「OpenSSL」がアップデートを公開、重要度「高」の脆弱性も(JVN)

  6. 攻撃者はコストをかけてフィッシングの罠、10代でも10万円以上の高額被害(BBソフトサービス)

  7. 「macOS」「Safari」などに複数の脆弱性、アップデートの適用を呼びかけ(JVN)

  8. 警察庁が上半期レポート、「Apache Struts 2」「PLC」「IP電話」へのアクセス目立つ(警察庁)

  9. 「ウイルスバスター」に、マルウェアの検出を回避される脆弱性(JVN)

  10. Androidアプリ「マネーフォワード」に複数の脆弱性(JVN)

  11. 「OpenSSL」が重要度「高」「中」2件の脆弱性に対応するアップデート(JVN)

  12. 数分で目的を達成する、洗練されたマルウェア攻撃も確認--四半期レポート(ウェブルート)

  13. BIND 9.xに、パケットひとつでDNSサービスが停止する脆弱性(JPRS)

  14. 少人数による攻撃でも深刻な影響を与える「Slow HTTP DoS Attack」を把握(警察庁)

  15. 「Joomla!」の脆弱性を悪用したWebサイト改ざんに注意を呼びかけ(JPCERT/CC)

  16. Drupal の Coder モジュールにおける遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  17. 「Splunk Enterprise」および「Splunk Light」に複数の脆弱性(JVN)

  18. Vプリカを騙るメールに注意喚起、本文に再び“流失”の表記(フィッシング対策協議会)

  19. 「.js」添付ファイルが急増--警察庁が上半期サイバー脅威情勢まとめ(警察庁)

  20. CMS「Geeklog IVYWE版」にクロスサイトスクリプティングの脆弱性(JVN)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×