スマートフォンやタブレット端末、さらにはウェアラブルデバイスがエンタープライズ市場にも投入され、私たちの働き方は大きく変わろうとしています。個人のデバイスを業務に利用する「BYOD(Bring Your Own Device)」は、ここ数年で世界的な傾向になり様々な業種・業界に広がっています。企業がBYODを進めるためには安全を確保するためのPKI(公開鍵暗号基盤)は不可欠です。
世界のモバイルワーカーは2022年までに18億7000万人に増え、世界の労働者の42.5%を占めると予測されています(Strategy Analyticsの最新レポート『Global Mobile Workforce Forecast Update 2016-2022』より)。加えて、労働者の年齢層が下がったりミレニアル世代を迎え入れたりすれば、職場での主要デバイスは、タブレットやウェアラブル、Ultrabookになり、デスクトップPCは消滅するとも考えられています。
労働現場でのモバイル化の動きは活発になっており、従業員は会社支給ではないデバイス、すなわち個人のデバイスから企業のリソースへのアクセスを許可するようIT部門とCEOらを説得する努力を続けています。企業のITリーダーが、ネットワークセキュリティに関して最先端であり続けようとする一方で、BYOD(Bring Your Own Device:私物端末の業務利用)の動きが台頭しています。1台または複数台の個人デバイスを労働環境に持ち込むことは、もはや従業員の“要望”ではなく“要求”なのです。
モバイル端末のセキュリティ基準の無視や緩和はあり得ない
企業がBYODを許可する際には、考慮しなければならない潜在的な問題が多数あります。まずBYODによってIT部門による中央からの制御が困難になります。一般にIT部門は、デバイスを管理することで会社が承認したアプリケーションやソフトウェア以外のインストールを不可能にしているからです。
外部デバイスの使用を許可すると、従業員の仕事と私生活の境界にゆがみが生じます。例えば、従業員が退職する時、個人のデバイスはどうなるでしょうか。どうすれば退職者が会社の資産に確実にアクセスできないようにできるでしょうか。あるいは、取引先が退職者の資産である個人デバイスの電話番号に直接、何度も電話をかければ、どうなるでしょうか。BYODを進める前には、こうした課題にも事前に対処しておく必要があります。
そもそもBYODを導入する企業は、従業員に強力な認証形式の使用を要求するポリシーについて慎重に検討しなければなりません。これによって企業は制御を取り戻し、企業ネットワークにリモートアクセスする従業員の管理者権限を管理できます。にもかかわらず、モバイルデバイスに多要素認証を義務付ける方法を見つけるどころか、モバイルデバイスのセキュリティ基準を無視する、あるいは緩和することが選択肢になる現状が繰り返されています。
これらが選択肢であってはなりません。企業のIT部門は、手遅れになる前にモバイルセキュリティをじっくり検討する必要があるのです。第1回で説明したように、BYODのためのポリシーを導入している多くの企業は、追加のセキュリティが必要であり、ユーザー名とパスワードによる識別認証に依存していてはデータの漏洩と侵害につながることを認識しています。
この必要性を顕著に示すのが、2016年4月にモバイル感染が過去最高に達したことです。デバイスの1.06%が、ランサムウェアやスパイフォンアプリケーション、SMSトロイの木馬、個人情報盗難、攻撃的なアドウェアなど様々なマルウェアに感染しています。ただ企業がBYODによって生じるセキュリティの課題に対処できるよう、市場には種々の技術が提供され、さらなる開発が進められています。
PKIが企業に有用なセキュリティ機能を実現する
特に強力で信頼できるセキュリティプロトコルの1つがPKI(公開鍵暗号基盤)です。世界中の多くの企業が導入しているICカードなどに使用されています。PKIを使えば、強力な認証が可能になるだけでなく、今日の企業にとって有用なセキュリティ機能が追加できます。データや電子メールの暗号化とデジタル署名が可能になるなどです。ハッカーによる通信傍受を防ぐには、デジタルファイル交換を保護しコンテンツの暗号化が不可欠なだけに、PKIが提供する機能は、ますます重要になっています。