端末のセキュリティ機能だけ見ていてはいけない
私が法人を訪問する際に、よく受ける質問が「パスワード機能」についての質問だ。「8桁のパスワードをかけることが可能か」といった内容が多い。iPhoneやiPadの場合、通常のパスワードは数字4桁だが、構成プロファイルをインストールすることで最長16桁以上のパスコード(iPhone/iPadではパスコードと呼んでいる)に設定することができ、また英字が必要な設定にしたり、123、abcといった連続した設定を禁止することができる。ここまでできると、今までWindowsPCでやってきたルールに近くなるため、ここで満足してしまいがちだ。
しかし、WindowsPCで禁止しているのに、スマートフォンで禁止するのを忘れてしまいがちなのは、アプリケーション購入だ。iPhoneやiPadならAppStore、AndroidであればAndroidマーケットがそれに相当する。これらを禁止するのかしないのか、を決めないことにはセキュリティが万能であるとは言いづらい。特にAndroidマーケットの場合、マルウェアやトロイの木馬といったものがそのままアップされているようなこともあるため、Androidマーケットをそのまま社員に使わせるかどうか検討しなくてはならない。その工程を飛ばしてしまうと、あとからとんでもないことになりかねないからだ。
インターネットはどうするか
「インターネットはどうしますか?」と質問されると、何を言っているのだろう、と思われるのではないだろうか。インターネットを使えるのがスマートフォンの大きな特徴なのに、それを「どうしますか?」はないだろう、ということだ。
しかし、ブラウザをそのまま使うかどうかは考えどころだ。iPhoneやiPadにはオリジナルのSafariというブラウザがあるが、それをそのまま使うのが一般的である。しかし、導入する企業によっては、何でもかんでも見られるのがよいとは限らない。例えば、店舗に置く場合や営業マンがネットを検索して顧客に説明する場合など、自社の社員以外にもスマートフォンを見る可能性がある場合、そこでアダルトサイトを見られる状態でもいいだろうか。店舗に置いてある場合に、来客が勝手にアダルトサイトやいかがわしいサイトを見ていたら、他の客はどう感じるだろうか。
当社ではこういう場合に、iPhoneやiPadでは、構成プロファイルでSafariを隠してしまうことができるため、Safariを使わずにジェーエムエーシステムズが提供しているモバイルセキュアブラウザを推奨している。これを使えば、サイトをホワイトリスト化し、安全にサイトを閲覧することができる。
何でもかんでも情報システム部門という企業が多いが、本当に導入する際にはここまで考えなくては万全のセキュリティとは言えない。
次回は、個人端末を企業で使うということについて考えてみたい。
