CIOたちは10年前から携帯端末のセキュリティ対策に取り組んできた。まずBlackBerryに始まり、さらに多くのスマートフォンが登場。次にNetbookがその後を追い、今度は米AppleがiPadとiPad 2でタブレットの知名度を高めた。その形状と機能性はIT部門以外の従業員にも支持され、CIOはIT部門に端末をどう取り込むかだけでなく、私物の端末でネットワークに接続するユーザーをどうするかという問題にも対処しなければならなくなった。
ではモバイル戦略を確立しようとするCIOにとって最大の懸念は何か。考慮すべきリスクや弱点にはどんなものがあるのか。携帯端末のセキュリティ戦略策定に当たって考慮すべき主要4項目を以下に挙げる。
アップデート
スマートフォン、タブレット、Netbookなどを大量に管理する上で、最も大きな課題は常に最新でセキュアな状態に保つことだ。新手の脅威が日々浮上する一方、端末やOSのメーカー、そして(限定的ではあるが)キャリアからも新機能がリリースされる。米Microsoftの「System Center Configuration Manager」「Mobile Device Manager」など、こうした苦痛をある程度和らげてくれるツールはある。しかしiPhone、Android、iPadといった人気コンシューマー端末には注意した方がいい。こうした端末を一元的にアップデートできる方法は存在せず、ユーザーとメーカー任せにするしかない。
プロビジョニング
ユーザーが買った私物の端末を会社のネットワークに接続させるのか。1台か2台の端末を標準化し、一元的にプロビジョニングしてユーザーに配るのか。特定層の従業員には他よりも高いアクセス権が必要なのか。特定のユーザーに外出先で重要情報にアクセスする権限を持たせ、端末をなくしたり盗まれたりした場合には遠隔操作での消去を義務付けるのか。端末に掛かるコストは会社が負担するのか一部を支給するのか、それともユーザーに負担させるのか。その選択は、端末が好ましくない相手の手に渡りそうになった場合にデータを消去する権限に関してどのような影響を及ぼすのか。導入に当たり、端末の出荷と配送、ユーザーの認証情報をどう管理するのか。包括的なモバイル戦略では、以上の全てに答えを出さなくてはならない。
契約と囲い込み
IT業界では全てにいえることだが、スマートフォンや携帯端末は常に変化している。今は最先端の端末でも、さらに優れた製品が登場すれば、戦略を立て直す間もなく時代遅れになってしまうだろう。
この点で米国の携帯キャリア企業は、真に友好的とはいえない。狙いはユーザー当たりの使用量を継続的に増やしてもらい、1〜2年、時には3年にわたってサービス使用条件と契約で顧客を囲い込んで多額の料金を払ってもらうことにある。大量のユーザーの契約を結ぶ際は、キャリアから有利な条件を引き出す交渉に力を入れたい。何か変更があっても全員が同時に影響を受けることのないよう、ユーザーをキャリア各社の間で分散させて契約内容を調整することを考えてもいい。できることなら身動きの取れなくなる契約は避け、どんな契約を結ぶ場合でも、一方的にキャリアに有利な内容にならないことを確認する必要がある。
コントロール
モバイル端末セキュリティの最前線は、サポートする端末を登録し、どの端末に会社のネットワークとリソースへのアクセスを許可するかを管理することにある。多くの企業にとって、これは所有者の問題に行き着く。会社が携帯電話や端末を購入し、使用を認められたユーザーのみに配るのか。それともユーザーが各自で端末を購入し、ユーザー自身の選択で外出先から会社のメールサーバやネットワークリソースに接続できるようにするのか。中にはBlackBerry Enterprise Serverのような、特定の端末と連動するプラットフォームサーバを通じて携帯メールを管理している企業もある。同製品では中堅・中小企業向けに、サポートする活動とサポートしない活動を明確に線引きできる機能を提供している。この場合、IT部門が端末をプラットフォームサーバに登録する。登録しなければアクセスもできないことから、ポリシーを無視するのは難しい。
0 件のコメント:
コメントを投稿